it-swarm-pt.tech

psexec: "Acesso negado"?

Inspirado na minha pergunta anterior aqui , tenho experimentado o PSExec.

O objetivo é desativar alguns scripts/programas bastante simples em uma máquina WindowsXP de outra e, como o PowerShell 2 ainda não faz a comunicação remota no XP, o PSexec parece que resolverá meus problemas de maneira agradável.

No entanto, não consigo obter nada além do erro "Acesso negado".

Aqui está o que eu tentei até agora:

Eu tenho um par de máquinas WindowsXP MCE, conectadas em rede em um grupo de trabalho sem um servidor ou controlador de domínio.

Desativei o "compartilhamento simples de arquivos" nas duas máquinas.

Sob a política de segurança, o modelo Acesso à rede: compartilhamento e segurança para contas locais é definido como Clássico, não como Convidado nas duas máquinas.

Há um usuário administrativo para cada computador que eu conheço as senhas. :)

Com tudo isso, um comando como "> psexec \\otherComputer -u adminUser cmd "solicita a senha (como deveria) e sai com:

Couldn't access otherComputer:
Access is denied.

Então, neste ponto, eu volto para a comunidade. Que passo estou perdendo aqui?

9
Electrons_Ahoy

Problema resolvido.

Acontece que, por padrão, o Windows não permite que você entre remotamente com uma conta de usuário com uma senha vazia. Com o objetivo de experimentar o PSExec, alterei a senha da conta de administrador na máquina de destino para nada, pensando que isso reduziria a quantidade de digitação necessária. Acontece que esse era meu problema e, depois que eu coloquei uma senha de volta, tudo funcionou perfeitamente.

No entanto, isso desencadeou outra investigação - se alguém quiser usar o PSExec com uma senha vazia, eis o que você precisa fazer (no Windows XP MCE, pelo menos):

  • No Painel de Controle, abra Ferramentas Administrativas.
  • Abra Diretiva de Segurança Local.
  • Navegue para Políticas locais -> Opções de segurança
  • Altere "Contas: limite o uso de senhas em branco na conta local apenas para o logon do console" para Desativado
7
Electrons_Ahoy

Adicione o seguinte registro DWORD ao computador remoto e ele deve corrigir o problema.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
11
Jon

Acho que o PSEXEC depende de poder abrir o compartilhamento ADMIN $. Verifique se, com as mesmas credenciais,

Net Use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *
6
nray

Encontrei este erro ao executar o PSExec a partir de um prompt de comando não elevado (no Windows 7). Executando o comando a partir de um comando elevado, o Prompt o corrigiu.

1
Tweek

Se você digitar

\\nome do computador

no meu computador e autenticado como adminUser funciona?

Suponho que você usou uma barra dupla e o sistema a retirou.

Você precisa que o compartilhamento de arquivos padrão do Windows esteja ativado e permitido pelo firewall para que isso funcione.

1
Jona

Encontrei outro motivo pelo qual o PSEXEC (e outras ferramentas PS) falhou - se algo (... digamos, um vírus ou um cavalo de Tróia) ocultar a pasta do Windows e/ou seus arquivos, o PSEXEC falhará com o erro "Acesso negado", PSLIST apresentará o erro "Objeto de desempenho do processador não encontrado" e você ficará no escuro quanto ao motivo.

Você pode RDP dentro; Você pode acessar o $ admin admin; Você pode visualizar o conteúdo da unidade remotamente, etc. etc., mas não há indicação de que os arquivos ou pastas ocultos sejam o motivo.

Vou postar essas informações em várias páginas que eu estava lendo ontem, enquanto tentava determinar a causa desse problema estranho, para que você possa ver isso em outro lugar literalmente - apenas pensei em divulgar a Palavra antes que alguém arrancasse seus cabelos. pelas raízes tentando entender por que o contador de desempenho tem algo a ver com o PSEXEC em execução.

1
Jeff

Outra coisa a verificar é se o seu antivírus está bloqueando o psexecsvc.exe. Eu acabei de encontrar com Sophos. Eu estava recebendo um acesso negado e vi que o Sophos estava bloqueando o PSEXEC do log do aplicativo.

0
Andrew S

O Windows Defender ou outra proteção contra malware está em execução? Está bloqueando? Eu sei que o Windows Defender é capaz de fazer isso.

0
K. Brian Kelley

Capturar tráfego usando Wireshark geralmente pode ajudar a rastrear o problema nessas situações. Você pode olhar para o tráfego SMB e ver como o Windows está tentando se autenticar ou se chega a esse ponto em primeiro lugar no caso de firewalls bloqueando o tráfego etc.).

0
Leon Sodhi