psexec: "Akses Ditolak"?

Terinspirasi oleh pertanyaan saya sebelumnya di sini , saya telah bereksperimen dengan PSExec.

Tujuannya adalah untuk menghapus beberapa skrip / program yang cukup sederhana pada satu mesin WindowsXP dari yang lain, dan karena PowerShell 2 belum melakukan remoting pada XP, PSexec sepertinya akan menyelesaikan masalah saya dengan baik.

Namun, saya tidak bisa mendapatkan apa pun kecuali kesalahan "Akses ditolak".

Inilah yang saya coba sejauh ini:

Saya punya sepasang mesin WindowsXP MCE, jaringan bersama dalam workgroup tanpa server atau pengontrol domain.

Saya telah mematikan "berbagi file sederhana" di kedua mesin.

Di bawah kebijakan keamanan, Akses Jaringan: Model Berbagi dan Keamanan untuk akun lokal diatur ke Klasik, bukan Tamu untuk kedua mesin.

Ada pengguna Administratif untuk setiap komputer yang saya tahu kata sandinya. :)

Dengan semua itu, perintah seperti " > psexec \\otherComputer -u adminUser cmd" meminta kata sandi (seperti seharusnya) dan kemudian keluar dengan:

Couldn't access otherComputer:
Access is denied.

Jadi, pada titik ini saya beralih ke komunitas. Langkah apa yang saya lewatkan di sini?

Tambahkan DWORD registri berikut ke komputer jarak jauh dan itu akan memperbaiki masalah.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Masalah terpecahkan.

Ternyata, secara default, Windows tidak akan membiarkan Anda masuk dengan akun pengguna dengan kata sandi kosong. Untuk tujuan bereksperimen dengan PSExec saya telah mengubah kata sandi akun admin pada mesin target menjadi tidak ada, berpikir bahwa itu akan mengurangi jumlah pengetikan yang diperlukan. Ternyata, itu masalah saya, dan begitu saya memasukkan kembali kata sandi, semuanya bekerja dengan sempurna.

Namun, ini memicu penyelidikan lain - Jika ada yang ingin menggunakan PSExec dengan kata sandi kosong, inilah yang perlu Anda lakukan (di bawah Windows XP MCE):

• Di Panel Kontrol, buka Alat Administratif.
• Buka Kebijakan Keamanan Lokal.
• Navigasikan ke Kebijakan Lokal -> Opsi Keamanan
• Ubah "Akun: Batasi penggunaan akun lokal kata sandi kosong hanya untuk menghibur masuk" ke Dinonaktifkan

Saya pikir PSEXEC bergantung pada kemampuan untuk membuka saham $ ADMIN, jadi periksa dengan kredensial yang sama,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Jika Anda mengetik

\\nama komputer

ke komputer saya dan diautentikasi sebagai adminUser tidak berfungsi?

Saya berasumsi Anda memang menggunakan double slash dan sistem menghapusnya.

Anda perlu berbagi file windows standar dihidupkan dan diizinkan melalui firewall untuk ini untuk bekerja.

Saya mengalami kesalahan ini ketika menjalankan PSExec dari prompt perintah yang tidak ditinggikan (pada Windows 7). Menjalankan perintah dari prompt perintah tinggi memperbaikinya.

Saya menemukan alasan lain mengapa PSEXEC (dan alat PS lainnya) gagal - Jika sesuatu (... katakanlah, virus atau trojan) menyembunyikan folder Windows dan / atau file-file-nya, maka PSEXEC akan gagal dengan kesalahan "Akses ditolak", PSLIST akan memberikan kesalahan "Objek kinerja prosesor yang tidak ditemukan" dan Anda akan dibiarkan dalam kegelapan alasannya.

Anda dapat RDP di; Anda dapat mengakses admin $ share; Anda dapat melihat konten drive dari jarak jauh, dll., Tetapi tidak ada indikasi bahwa file atau folder yang disembunyikan adalah alasannya.

Saya akan memposting informasi ini pada beberapa halaman yang saya teliti kemarin saat mencoba menentukan penyebab masalah aneh ini, jadi Anda mungkin melihat ini di tempat lain kata demi kata - hanya berpikir saya akan mengeluarkan kata sebelum orang lain mencabut rambut mereka oleh akar mencoba memahami mengapa penghitung kinerja ada hubungannya dengan PSEXEC berjalan.

Apakah Windows Defender atau perlindungan malware lain berjalan? Apakah itu menghalangi? Saya tahu Windows Defender mampu melakukannya.

Menangkap lalu lintas menggunakan Wireshark seringkali dapat membantu melacak masalah dalam situasi ini. Anda dapat melihat lalu lintas SMB dan melihat bagaimana Windows mencoba untuk mengotentikasi atau jika bahkan mencapai sejauh itu dalam kasus firewall memblokir lalu lintas dll.

Hal lain yang perlu diperiksa adalah apakah antivirus Anda memblokir psexecsvc.exe. Saya hanya bertemu dengan Sophos. Saya mendapatkan Akses Ditolak dan melihat bahwa Sophos memblokir PSEXEC dari log Aplikasi.