Comment exécuter à distance un kill-switch sur Windows 7 ?

Il n'est pas nécessaire de détruire réellement la machine ; il suffit de la forcer à s'éteindre et de verrouiller l'utilisateur.

• Exécuter shutdown /m <machinename> /f /t 0 pour forcer l'arrêt de l'ordinateur.
• Désactiver le compte d'utilisateur Active Directory pour l'utilisateur.
• Désactiver le compte utilisateur Active Directory de l'ordinateur.

Assurez-vous juste d'éteindre l'ordinateur avant en désactivant son compte, sinon vous serez bloqué dans la gestion à distance car il ne pourra plus s'authentifier quelqu'un contre le domaine, y compris vous-même.

Si l'utilisateur dispose également d'un compte d'utilisateur local sur l'ordinateur cible, vous pouvez le désactiver avant d'effectuer les étapes ci-dessus ; pour ce faire, lancez la MMC Gestion de l'ordinateur sur n'importe quel autre ordinateur en tant qu'administrateur de domaine et connectez-le à distance à l'ordinateur que vous souhaitez gérer ; à partir de là, vous pouvez également prendre toutes les autres mesures nécessaires pour vous assurer que personne ne peut se connecter à la machine à l'aide de comptes d'utilisateur locaux (comme les désactiver ou changer leurs mots de passe).

Remarque : si c'est pour des questions juridiques ou de conformité, c'est une raison très forte pour ne pas modifier ou supprimer quoi que ce soit sur la machine ; sinon, l'utilisateur pourrait dire plus tard (peut-être à juste titre) que la machine a été manipulée ; de plus, si vous supprimez quoi que ce soit sur le système de fichiers, vous pourriez perdre des données précieuses (qui peut dire si l'utilisateur a stocké des fichiers personnels ou des applications dans des dossiers système ?)

Comme je l'ai déjà dit plusieurs fois, si c'est une affaire de médecine légale, je fortement vous déconseille de faire autre chose que de vous rendre physiquement sur place et de prendre la machine, de la trafiquer dans les locaux de l'entreprise. tout de manière à invalider toute preuve légale qui pourrait en découler.

Cela dit, il existe plusieurs façons de rendre une machine non amorçable tout en l'endommageant le moins possible, en fonction de la façon dont le système est réellement installé (les principales différences étant si le système est basé sur le BIOS ou l'UEFI et si une partition de démarrage est utilisée ou si les fichiers de démarrage sont stockés sur la partition système) ; voici quelques options :

• Supprimez le contenu de la partition de démarrage et/ou de la partition UEFI (généralement cachée mais vous pouvez la monter) ; ou supprimez les fichiers de démarrage de la partition système, si aucune partition de démarrage n'est utilisée.
• Supprimer le fichier C:\bootmgr .
• Modifiez la configuration du gestionnaire de démarrage en utilisant bcdedit.exe .
• Modifier la table de partition pour ne pas avoir de partition active.

Et ainsi de suite ; jouer avec le gestionnaire de démarrage est généralement le meilleur moyen de rendre un système non amorçable, sans pour autant l'endommager. Mais comme les systèmes Windows modernes ont plusieurs chemins de démarrage possibles, il n'y a pas d'approche universelle (par exemple, un système UEFI ne s'appuie pas du tout sur le MBR et ne se soucie pas de la partition active, le cas échéant).

Si vous limitez votre intervention aux fichiers de démarrage, le système lui-même ne sera pas touché et vous pourrez récupérer tout son contenu (et même le redémarrer si vous annulez les dégâts).

Quelques questions :

• Y a-t-il une raison pour laquelle vous devez suivre une voie destructive ?

Si oui, suivez la réponse de @frupfrup.

• L'utilisateur dispose-t-il uniquement d'une connexion de domaine ou d'une connexion locale ? local ?
• Dans quel délai cela doit-il prendre effet ?

Une autre chose que vous pourriez faire est de provoquer une erreur générique de connexion à Active Directory. Désactivez tout d'abord les connexions en cache sur cette machine, puis désactivez ou supprimez l'icône de l'annuaire actif. ordinateur dans le répertoire actif. Pour faire croire que l'ordinateur a eu une crise, vous pouvez faire un simple get-process | stop-process -force dans une session powershell à distance. Ou encore taskkill /im csrss.exe /f dans une invite de commande à distance, en utilisant psexec ou similaire.

Lorsqu'il "plante" puis redémarre et que l'utilisateur essaie de se connecter, il devrait obtenir une erreur de type générique "Cet ordinateur n'a pas pu être authentifié par rapport au domaine", IIRC. Je testerais tout cela sur quelque chose d'abord ; le problème d'authentification peut ne pas prendre effet tout de suite, ou Windows peut être assez intelligent pour vous empêcher d'exécuter ces commandes.

Il existe un grand nombre de choses que vous pouvez faire pour empêcher l'utilisateur d'utiliser l'ordinateur.

Cependant, aucune d'entre elles ne passera inaperçue aux yeux de l'utilisateur, car toutes l'amèneront à appeler le service d'assistance. Qu'il s'agisse de rendre l'appareil non amorçable, de désactiver son compte, de désactiver le compte de l'ordinateur dans l'AD ou de toutes ces mesures.

Nous rencontrons des problèmes similaires lorsque des utilisateurs distants ne se conforment pas et retournent un ordinateur portable qui a été remplacé mais qu'ils continuent à utiliser (par paresse). Cependant, dans notre cas, c'est très simple puisque nous n'essayons pas de faire de l'investigation. Connectez-vous à distance à l'ordinateur, supprimez le compte de l'utilisateur local, retirez-le du domaine et supprimez l'ordinateur de l'AD. Viola l'utilisateur ne peut plus utiliser et nous n'avons pas rendu l'ordinateur portable totalement inutile.

Honnêtement, je ne connais pas de moyen de rendre un ordinateur inutile pour un utilisateur sans qu'il le sache et/ou qu'il appelle le service d'assistance pour le faire fonctionner, etc.