psexec: "Accesso negato"?

Ispirato alla mia domanda precedente qui , ho sperimentato PSExec.

L'obiettivo è quello di far scattare alcuni script / programmi abbastanza semplici su un computer WindowsXP da un altro, e poiché PowerShell 2 non fa ancora remoting su XP, PSexec sembra che risolverà bene i miei problemi.

Tuttavia, non riesco a ottenere altro che l'errore "Accesso negato".

Ecco cosa ho provato finora:

Ho un paio di macchine WindowsXP MCE, collegate in rete in un gruppo di lavoro senza server o controller di dominio.

Ho disattivato la "condivisione file semplice" su entrambe le macchine.

In base alla politica di sicurezza, Accesso alla rete: modello di condivisione e sicurezza per gli account locali è impostato su Classico, non su Ospite per entrambe le macchine.

Esiste un utente amministrativo per ogni computer a cui conosco le password. :)

Con tutto ciò, un comando come " > psexec \\otherComputer -u adminUser cmd" richiede la password (come dovrebbe) e quindi termina con:

Couldn't access otherComputer:
Access is denied.

Quindi, a questo punto, mi rivolgo alla comunità. Che passo mi manca qui?

Aggiungi il seguente DWORD di registro al computer remoto e dovrebbe risolvere il problema.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Problema risolto.

Si scopre che, per impostazione predefinita, Windows non ti consente di accedere in remoto con un account utente con una password vuota. Allo scopo di sperimentare con PSExec avevo cambiato la password dell'account admin sul computer di destinazione in nulla, pensando che avrebbe ridotto la quantità di digitazione necessaria. Si è scoperto, quello era il mio problema, e una volta rimessa una password, tutto ha funzionato perfettamente.

Tuttavia, questo ha scatenato un'altra indagine - Se qualcuno vuole usare PSExec con una password vuota, ecco cosa devi fare (sotto Windows XP MCE, comunque):

• Nel Pannello di controllo, aprire Strumenti di amministrazione.
• Apri la politica di sicurezza locale.
• Passare a Criteri locali -> Opzioni di sicurezza
• Modifica "Account: limita l'utilizzo dell'account locale di password vuote solo per l'accesso alla console" su Disabilitato

Penso che PSEXEC faccia affidamento sulla possibilità di aprire la condivisione ADMIN $, quindi controlla che con le stesse credenziali,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Se digiti

\\nome del computer

nel mio computer e autenticato come adminUser funziona?

Presumo che tu abbia usato una doppia barra e il sistema l'ha spogliata.

È necessaria la condivisione standard dei file di Windows attivata e consentita attraverso il firewall affinché funzioni.

Ho riscontrato questo errore durante l'esecuzione di PSExec da un prompt dei comandi non elevato (su Windows 7). L'esecuzione del comando da un prompt dei comandi elevato lo ha risolto.

Ho trovato un altro motivo per cui PSEXEC (e altri strumenti PS) falliscono - Se qualcosa (... diciamo, un virus o un trojan) nasconde la cartella Windows e / oi suoi file, PSEXEC fallirà con un errore "Accesso negato", PSLIST visualizzerà l'errore "Oggetto prestazioni processore non trovato su" e verrai lasciato al buio sul motivo.

È possibile utilizzare RDP in; È possibile accedere alla condivisione $ admin; È possibile visualizzare i contenuti dell'unità da remoto, ecc. Ecc., Ma non vi è alcuna indicazione del fatto che i file o le cartelle nascosti siano il motivo.

Pubblicherò queste informazioni su diverse pagine che stavo leggendo ieri mentre cercavo di determinare la causa di questo strano problema, quindi potresti vederlo letteralmente altrove - pensavo solo di mettere la parola fuori prima che qualcun altro si strappasse i capelli dalle radici cercando di capire perché il contatore delle prestazioni ha qualcosa a che fare con l'esecuzione di PSEXEC.

Windows Defender o altra protezione da malware è in esecuzione? Sta bloccando? So che Windows Defender è in grado di farlo.

Catturare il traffico utilizzando Wireshark può spesso aiutare a rintracciare il problema in queste situazioni. Puoi guardare il traffico SMB e vedere come Windows sta tentando di autenticare o se arriva anche così lontano in primo luogo nel caso di firewall che bloccano il traffico ecc.

Un'altra cosa da verificare è se il tuo antivirus sta bloccando psexecsvc.exe. L'ho appena incontrato con Sophos. Stavo ottenendo un accesso negato e ho visto che Sophos stava bloccando PSEXEC dal registro dell'applicazione.