psexec: Truy cập có bị từ chối không?

Lấy cảm hứng từ câu hỏi trước đây của tôi ở đây , tôi đã thử nghiệm với PSExec.

Mục tiêu là loại bỏ một số tập lệnh / chương trình khá đơn giản trên một máy WindowsXP từ một máy khác và vì PowerShell 2 chưa thực hiện từ xa trên XP, PSexec có vẻ như sẽ giải quyết vấn đề của tôi một cách độc đáo.

Tuy nhiên, tôi không thể nhận được bất cứ điều gì ngoại trừ lỗi "Truy cập bị từ chối".

Đây là những gì tôi đã thử cho đến nay:

Tôi đã có một cặp máy WindowsXP MCE, được nối mạng trong một nhóm làm việc mà không cần máy chủ hoặc bộ điều khiển miền.

Tôi đã tắt "chia sẻ tệp đơn giản" trên cả hai máy.

Theo chính sách bảo mật, Mô hình truy cập mạng: Chia sẻ và bảo mật cho tài khoản cục bộ được đặt thành Cổ điển, không phải là Khách cho cả hai máy.

Có một người dùng Quản trị cho mỗi máy tính mà tôi biết mật khẩu. :)

Với tất cả điều đó, một lệnh như " > psexec \\otherComputer -u adminUser cmd" sẽ nhắc nhập mật khẩu (giống như vậy) và sau đó thoát với:

Couldn't access otherComputer:
Access is denied.

Vì vậy, tại thời điểm này tôi chuyển sang cộng đồng. Tôi thiếu bước nào ở đây?

Thêm DWORD đăng ký sau vào máy tính từ xa và nó sẽ khắc phục vấn đề.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Giải quyết vấn đề.

Hóa ra, theo mặc định, Windows sẽ không cho phép bạn truy cập từ xa bằng tài khoản người dùng có mật khẩu trống. Với mục đích thử nghiệm với PSExec, tôi đã thay đổi mật khẩu của tài khoản quản trị viên trên máy mục tiêu thành không có gì, nghĩ rằng điều đó sẽ làm giảm số lượng nhập cần thiết. Hóa ra, đó là vấn đề của tôi, và một khi tôi đặt lại mật khẩu, tất cả đều hoạt động hoàn hảo.

Tuy nhiên, điều này đặt ra một cuộc điều tra khác - Nếu bất kỳ ai muốn sử dụng PSExec với mật khẩu trống, đây là những gì bạn cần làm (trong Windows XP MCE, dù sao):

• Trong Bảng điều khiển, mở Công cụ quản trị.
• Mở Chính sách bảo mật địa phương.
• Điều hướng đến Chính sách cục bộ -> Tùy chọn bảo mật
• Thay đổi "Tài khoản: Hạn chế sử dụng tài khoản cục bộ mật khẩu trống chỉ đăng nhập bảng điều khiển" thành Vô hiệu hóa

Tôi nghĩ rằng PSEXEC phụ thuộc vào việc có thể mở cổ phiếu ADMIN $, vì vậy hãy kiểm tra xem có cùng thông tin đăng nhập không,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Nếu bạn gõ

\\tên máy tính

vào máy tính của tôi và được xác thực là adminUser có hoạt động không?

Tôi giả sử bạn đã sử dụng một dấu gạch chéo kép và hệ thống tước nó.

Bạn cần bật chia sẻ tệp windows tiêu chuẩn và cho phép thông qua tường lửa để làm việc này.

Tôi đã gặp lỗi này khi chạy PSExec từ dấu nhắc lệnh không nâng cao (trên Windows 7). Chạy lệnh từ một dấu nhắc lệnh nâng cao đã sửa nó.

Tôi đã tìm thấy một lý do khác khiến PSEXEC (và các công cụ PS khác) thất bại - Nếu một cái gì đó (... giả sử, virus hoặc trojan) ẩn thư mục Windows và / hoặc các tệp của nó, thì PSEXEC sẽ thất bại với lỗi "Truy cập bị từ chối", PSLIST sẽ đưa ra lỗi "Không tìm thấy đối tượng hiệu suất của bộ xử lý" và bạn sẽ bị bỏ lại trong bóng tối.

Bạn có thể RDP trong; Bạn có thể truy cập quản trị $ share; Bạn có thể xem nội dung ổ đĩa từ xa, v.v., nhưng không có dấu hiệu nào cho thấy tệp (s) hoặc thư mục bị ẩn là lý do.

Tôi sẽ đăng thông tin này lên một số trang mà tôi đã đọc ngày hôm qua trong khi cố gắng xác định nguyên nhân của vấn đề kỳ lạ này, vì vậy bạn có thể thấy nguyên văn này ở nơi khác - chỉ nghĩ rằng tôi đã nói ra trước khi bất cứ ai khác nhổ tóc của họ bởi những gốc rễ cố gắng để hiểu tại sao bộ đếm hiệu suất có liên quan đến việc chạy PSEXEC.

Windows Defender hoặc phần mềm bảo vệ phần mềm độc hại khác đang chạy? Có phải nó đang chặn? Tôi biết Windows Defender có khả năng làm như vậy.

Nắm bắt lưu lượng truy cập bằng Wireshark thường có thể giúp theo dõi vấn đề trong những tình huống này. Bạn có thể nhìn vào lưu lượng SMB và xem Windows đang cố xác thực như thế nào hoặc thậm chí nó có thể đi xa đến thế ngay từ đầu trong trường hợp tường lửa chặn lưu lượng, v.v.

Một điều khác để kiểm tra là liệu phần mềm chống vi-rút của bạn có chặn psexecsvc.exe hay không. Tôi vừa chạy vào đó với Sophos. Tôi đã nhận được quyền truy cập từ chối và thấy rằng Sophos đang chặn PSEXEC khỏi nhật ký ứng dụng.