Como executar remotamente um kill-switch no Windows 7?

Você não precisa realmente destruir a máquina; basta forçá-lo a desligar e bloquear o usuário.

• Execute shutdown /m <machinename> /f /t 0 para forçar o desligamento de um computador.
• Desative a conta de usuário do Active Directory para o usuário.
• Desative a conta de usuário do Active Directory para o computador.

Apenas certifique-se de desligar o computador antes de desativar sua conta, caso contrário, você será bloqueado pelo gerenciamento remoto porque não poderá mais autenticar qualquer pessoa contra o domínio, incluindo você mesmo.

Se o usuário também tiver uma conta de usuário local no computador de destino, você poderá desativá-lo antes de executar as etapas acima; você pode fazer isso iniciando o MMC de Gerenciamento do Computador em qualquer outro computador como administrador de domínio e conectando-o remotamente ao computador que deseja gerenciar; a partir daí, você também pode executar outras etapas necessárias para garantir que ninguém possa fazer login na máquina usando contas de usuários locais (como desabilitá-las ou alterar suas senhas).

Nota: se isso é para problemas legais / de conformidade, isso é uma razão muito strong para não alterar ou excluir nada na máquina; caso contrário, o usuário poderia dizer posteriormente (talvez corretamente) que a máquina foi adulterada; Além disso, se você excluir alguma coisa no sistema de arquivos, poderá perder dados valiosos (quem pode saber se o usuário armazenou arquivos pessoais ou aplicativos em pastas do sistema?).

Como eu já disse várias vezes, se este for um caso forense eu strongmente aconselho você a não fazer nada diferente de ir lá fisicamente e pegar a máquina; adulterá-lo em qualquer maneira de invalidar qualquer prova legal que possa vir dele.

Dito isto, há várias maneiras de tornar uma máquina não inicializável enquanto a danifica o mínimo possível, dependendo de como o sistema está realmente instalado (as principais diferenças são se o sistema for baseado em BIOS ou UEFI e se uma inicialização for partição é usada contra os arquivos de inicialização armazenados na partição do sistema); Aqui estão algumas opções:

• Exclua o conteúdo da partição de inicialização e / ou da partição UEFI (geralmente oculta, mas você pode montá-la); ou exclua os arquivos de inicialização da partição do sistema, se nenhuma partição de inicialização estiver em uso.
• Exclua o arquivo C:\bootmgr .
• Altere a configuração do gerenciador de inicialização usando bcdedit.exe .
• Altere a tabela de partições para não ter uma partição ativa.

E assim por diante; mexer com o gerenciador de boot geralmente é a melhor maneira de tornar um sistema não inicializável, enquanto não danifica o sistema. Mas, como os sistemas Windows modernos têm vários caminhos de inicialização possíveis, não há uma abordagem universal (um sistema UEFI não depende do MBR e não se importa com a partição ativa, se houver).

Se você limitar sua intervenção para inicializar arquivos, o sistema atual ficará intacto e você poderá recuperar todo o seu conteúdo (e até reinicializá-lo novamente se desfizer o dano).

Algumas perguntas:

• Existe alguma razão pela qual você precisa seguir uma rota destrutiva?

Se sim, vá com a resposta do @frupfrup.

• O usuário só tem um logon de domínio ou tem um login local também?
• Quão rápido isso precisa entrar em vigor?

Outra coisa que você pode fazer é causar um erro genérico de login no diretório ativo. Primeiro, desative os logins em cache nessa máquina e, em seguida, desative ou exclua a conta computer no diretório ativo. Para fazer parecer que o computador tinha um ajuste, você poderia fazer um simples get-process | stop-process -force em uma sessão de powershell remota. Ou mesmo taskkill /im csrss.exe /f em um prompt de comando remoto, usando psexec ou similar.

Quando ele "trava", reinicia e o usuário tenta efetuar login, ele deve obter um tipo genérico de erro "Este computador não pode ser autenticado no domínio", IIRC. Eu testaria tudo isso em algo primeiro; O problema de autenticação pode não ter efeito imediato, ou o Windows pode ser inteligente o suficiente para impedir que você execute esses comandos.

Existem muitas coisas que você pode fazer para impedir que o usuário use o computador.

No entanto, nenhum deles passará despercebido pelo usuário, pois todos eles farão com que ele ligue para o Help Desk. Se isso está tornando o dispositivo não-inicializável, desabilitando sua conta, desabilitando a conta de computador no AD ou todas as opções acima.

Temos problemas semelhantes quando usuários remotos não cumprem e retornam um laptop que foi substituído, mas eles continuam a usá-lo (por preguiça). No entanto, no nosso caso, é muito simples, pois não estamos tentando fazer nenhuma análise forense. Remoto no computador, exclua a conta do usuário local, remova do domínio e exclua o computador do AD. Viola o usuário não pode mais usuário e nós não fizemos totalmente o laptop inútil.

Eu honestamente não conheço uma maneira de tornar um computador inútil para um usuário sem que ele saiba e / ou faça com que ele ligue para o Suporte Técnico para colocá-lo em operação, etc.