psexec: „Odmowa dostępu”?

Zainspirowany moim poprzednim pytaniem tutaj , eksperymentowałem z PSExec.

Celem jest wyłączenie kilku dość prostych skryptów / programów na jednej maszynie WindowsXP z drugiej, a ponieważ PowerShell 2 nie wykonuje jeszcze zdalnego sterowania na XP, PSexec wydaje się, że ładnie rozwiąże moje problemy.

Nie mogę jednak dostać niczego poza błędem „Odmowa dostępu”.

Oto, co próbowałem do tej pory:

Mam parę komputerów z systemem WindowsXP MCE połączonych w sieć w grupie roboczej bez serwera lub kontrolera domeny.

Wyłączyłem „proste udostępnianie plików” na obu komputerach.

Zgodnie z polityką bezpieczeństwa model Dostęp sieciowy: Udostępnianie i zabezpieczenia dla kont lokalnych jest ustawiony na Klasyczny, a nie Gościnny na obu komputerach.

Dla każdego komputera, do którego znam hasła, istnieje użytkownik administracyjny. :)

Po tym wszystkim polecenie takie jak „ > psexec \\otherComputer -u adminUser cmd” monituje o hasło (tak jak powinno), a następnie kończy się z:

Couldn't access otherComputer:
Access is denied.

W tym momencie zwracam się do społeczności. Jakiego kroku mi brakuje?

Dodaj następujący rejestr DWORD do komputera zdalnego i powinien rozwiązać problem.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Problem rozwiązany.

Okazuje się, że domyślnie Windows nie pozwala na zdalne zalogowanie się na konto użytkownika z pustym hasłem. W celu eksperymentowania z PSExec zmieniłem hasło konta administratora na maszynie docelowej na nic, myśląc, że to zmniejszy ilość potrzebnego pisania. Okazuje się, że to był mój problem, a kiedy przywróciłem hasło, wszystko działało idealnie.

Rozpoczęło to jednak inne dochodzenie - jeśli ktoś chce użyć PSExec z pustym hasłem, oto, co musisz zrobić (w każdym razie pod Windows XP MCE):

• W Panelu sterowania otwórz Narzędzia administracyjne.
• Otwórz lokalną politykę bezpieczeństwa.
• Przejdź do lokalnych zasad -> Opcje bezpieczeństwa
• Zmień „Konta: ogranicz użycie pustych haseł na koncie lokalnym tylko do logowania do konsoli” na Wyłączone

Myślę, że PSEXEC polega na możliwości otwarcia udziału ADMIN $, więc sprawdź to przy użyciu tych samych poświadczeń,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Jeśli wpiszesz

\\Nazwa komputera

na mój komputer i uwierzytelniony jako administrator. Czy to działa?

Zakładam, że użyłeś podwójnego ukośnika, a system go usunął.

Aby to działało, musisz włączyć standardowe udostępnianie plików systemu Windows i zezwolić na nie za pośrednictwem zapory.

Wystąpił ten błąd podczas uruchamiania PSExec z wiersza polecenia bez podniesionego poziomu uprawnień (w systemie Windows 7). Uruchomienie polecenia z wiersza polecenia z podwyższonym poziomem uprawnień rozwiązało to.

Znalazłem inny powód niepowodzenia PSEXEC (i innych narzędzi PS) - jeśli coś (... powiedzmy, wirus lub trojan) ukrywa folder Windows i / lub jego pliki, PSEXEC zawiedzie z błędem „Odmowa dostępu”, PSLIST wyświetli błąd „Nie znaleziono obiektu wydajności procesora” i zostaniesz pozostawiony w ciemności co do przyczyny.

Możesz RDP w; Możesz uzyskać dostęp do udziału admin $; Możesz przeglądać zawartość dysku zdalnie itp. Itp., Ale nic nie wskazuje na to, że ukrywanie plików lub folderów jest przyczyną.

Będę zamieszczał te informacje na kilku stronach, które przeglądałem wczoraj, próbując ustalić przyczynę tego dziwnego problemu, abyś mógł zobaczyć to dosłownie gdzie indziej - pomyślałem, że wypowiem to słowo, zanim ktokolwiek inny wyciągnie ich włosy przez korzenie próbujące zrozumieć, dlaczego licznik wydajności ma coś wspólnego z działaniem PSEXEC.

Czy działa Windows Defender lub inna ochrona przed złośliwym oprogramowaniem? Czy to blokuje? Wiem, że Windows Defender jest w stanie to zrobić.

Przechwytywanie ruchu za pomocą Wireshark może często pomóc w wyśledzeniu problemu w takich sytuacjach. Możesz spojrzeć na ruch SMB i zobaczyć, w jaki sposób system Windows próbuje się uwierzytelnić, a nawet jeśli dociera aż tak daleko, w przypadku zapór blokujących ruch itp.

Inną sprawą do sprawdzenia jest to, czy Twój program antywirusowy blokuje psexecsvc.exe. Właśnie wpadłem na to z Sophosem. Otrzymywałem odmowę dostępu i zobaczyłem, że Sophos blokuje PSEXEC z dziennika aplikacji.