psexec: "Доступ заборонено"?

Натхненний моїм попереднім запитанням тут , я експериментував з PSExec.

Мета полягає в тому, щоб відключити кілька досить простих сценаріїв / програм на одній машині WindowsXP від ​​іншої, і оскільки PowerShell 2 ще не робить видалення на XP, PSexec здається, що це прекрасно вирішить мої проблеми.

Однак я не можу отримати нічого, крім помилки "Доступ заборонено".

Ось що я спробував поки що:

У мене є пара машин MCE WindowsXP, об'єднаних в робочу групу без сервера або контролера домену.

Я вимкнув "просте обмін файлами" на обох машинах.

Відповідно до політики безпеки, для доступу до мережі: для доступу до мережі та безпеки для локальних облікових записів встановлено Класичний, а не Гостьовий для обох машин.

Для кожного комп’ютера, якому я знаю паролі, є адміністративний користувач. :)

З урахуванням цього команда типу " > psexec \\otherComputer -u adminUser cmd" запрошує пароль (як слід), а потім виходить із:

Couldn't access otherComputer:
Access is denied.

Отже, в цей момент я звертаюся до громади. Якого кроку я тут пропускаю?

Додайте наступний DWORD реєстру до віддаленого комп'ютера, і це має вирішити проблему.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Проблема вирішена.

Виявляється, за замовчуванням Windows не дозволить вам віддалятися з обліковим записом користувача з порожнім паролем. З метою експерименту з PSExec я змінив пароль облікового запису адміністратора на цільовій машині ні до чого, думаючи, що це зменшить кількість необхідного набору тексту. Виявляється, це була моя проблема, і як тільки я повернув пароль, це все спрацювало чудово.

Однак це розпочало ще одне розслідування - якщо хтось хоче використовувати PSExec з порожнім паролем, ось що вам потрібно зробити (у будь-якому випадку під Windows XP MCE):

• На Панелі керування відкрийте Адміністративні інструменти.
• Відкрийте локальну політику безпеки.
• Перейдіть до локальної політики -> Параметри безпеки
• Змініть "Облікові записи: обмежте використання місцевих облікових записів порожніх паролів для консолі входу лише" на "Відключено"

Я думаю, що PSEXEC покладається на те, що зможе відкрити акцію $ ADMIN, тому перевірте це з тими ж даними,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Якщо ви введете

\\ ім'я комп'ютера

на мій комп’ютер і підтверджено автентифікацію як adminUser?

Я припускаю, що ви користувались подвійною косою рисою, і система її позбавила.

Для цього вам потрібен стандартний спільний доступ до файлів Windows та дозволений через брандмауер.

Я зіткнувся з цією помилкою під час запуску PSExec з командного рядка без підвищеного рівня (в Windows 7). Запуск команди з піднесеного командного рядка виправив її.

Я виявив ще одну причину відмови PSEXEC (та інших інструментів PS) - якщо щось (... скажімо, вірус або троянин) приховує папку Windows та / або її файли, PSEXEC не вдасться з помилкою "Доступ заборонено", PSLIST дасть помилку "Об'єкт продуктивності процесора не знайдено", і ви залишитесь у темряві щодо причини.

Ви можете RDP в; Ви можете отримати доступ до адміністратора $ share; Ви можете переглядати вміст накопичувача віддалено, тощо, тощо.

Я розміщую цю інформацію на кількох сторінках, які я вчора переглядав, намагаючись визначити причину цієї дивної проблеми, тому ви можете побачити це в іншому місці дослівно - я просто подумав, що я викладу це слово, перш ніж хто-небудь ще витягне волосся корінням намагаються зрозуміти, чому лічильник продуктивності має щось спільне з запущеним PSEXEC.

Чи працює програма Windows Defender чи інший захист від зловмисного програмного забезпечення? Блокує? Я знаю, що Windows Defender здатний це робити.

Захоплення трафіку за допомогою Wireshark часто може допомогти розслідувати проблему в цих ситуаціях. Ви можете подивитися на трафік SMB і побачити, як Windows намагається пройти автентифікацію, або якщо вона навіть так далеко потрапляє в першу чергу у випадку, коли брандмауэры блокують трафік тощо.

Інша річ, щоб перевірити, чи блокує ваш антивірус psexecsvc.exe. Я просто зіткнувся з цим із Софосом. Мені було заборонено доступ і побачили, що Sophos блокує PSEXEC з журналу додатків.