psexec: "L'accès est refusé"?

Inspiré par ma question précédente ici , j'ai expérimenté avec PSExec.

Le but est de déclencher des scripts / programmes assez simples sur une machine WindowsXP d'une autre, et comme PowerShell 2 ne fait pas encore de communication à distance sur XP, PSexec semble que cela résoudra bien mes problèmes.

Cependant, je ne peux rien obtenir d'autre que l'erreur "Accès refusé".

Voici ce que j'ai essayé jusqu'à présent:

J'ai une paire de machines WindowsXP MCE, connectées en réseau dans un groupe de travail sans serveur ni contrôleur de domaine.

J'ai désactivé le "partage de fichiers simple" sur les deux machines.

Sous la stratégie de sécurité, le modèle Accès réseau: partage et sécurité pour les comptes locaux est défini sur Classique, pas sur Invité pour les deux machines.

Il existe un utilisateur administratif pour chaque ordinateur dont je connais les mots de passe. :)

Avec tout cela, une commande comme " > psexec \\otherComputer -u adminUser cmd" vous invite à saisir le mot de passe (comme il se doit), puis se termine avec:

Couldn't access otherComputer:
Access is denied.

Donc, à ce stade, je me tourne vers la communauté. Quelle étape me manque ici?

Ajoutez le registre DWORD suivant à l'ordinateur distant et cela devrait résoudre le problème.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Problème résolu.

Il s'avère que, par défaut, Windows ne vous permet pas de vous connecter à distance avec un compte d'utilisateur avec un mot de passe vide. Dans le but d'expérimenter avec PSExec, j'avais changé le mot de passe du compte administrateur sur la machine cible en rien, pensant que cela réduirait la quantité de frappe nécessaire. Il s'est avéré que c'était mon problème et une fois que j'ai remis un mot de passe, tout a parfaitement fonctionné.

Cependant, cela a déclenché une autre enquête - Si quelqu'un veut utiliser PSExec avec un mot de passe vide, voici ce que vous devez faire (sous Windows XP MCE, de toute façon):

• Dans le Panneau de configuration, ouvrez Outils d'administration.
• Ouvrez la stratégie de sécurité locale.
• Accédez aux stratégies locales -> Options de sécurité
• Modifiez «Comptes: limiter l'utilisation des mots de passe vides par le compte local pour la connexion à la console uniquement» à Désactivé

Je pense que PSEXEC repose sur la possibilité d'ouvrir le partage ADMIN $, alors vérifiez qu'avec les mêmes informations d'identification,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Si vous tapez

\\Nom de l'ordinateur

dans mon ordinateur et authentifié en tant qu'administrateur

Je suppose que vous avez utilisé une double barre oblique et que le système l'a supprimée.

Vous avez besoin du partage de fichiers Windows standard activé et autorisé à travers le pare-feu pour que cela fonctionne.

J'ai rencontré cette erreur lors de l'exécution de PSExec à partir d'une invite de commande non élevée (sous Windows 7). L'exécution de la commande à partir d'une invite de commandes élevée l'a corrigé.

J'ai trouvé une autre raison pour laquelle PSEXEC (et d'autres outils PS) échouent - Si quelque chose (... disons, un virus ou un cheval de Troie) cache le dossier Windows et / ou ses fichiers, alors PSEXEC échouera avec une erreur "Accès refusé", PSLIST donnera l'erreur "Objet de performance du processeur introuvable" et vous serez laissé dans le noir quant à la raison.

Vous pouvez RDP dans; Vous pouvez accéder au partage admin $; Vous pouvez afficher le contenu du lecteur à distance, etc., etc., mais rien n'indique que le ou les fichiers ou dossiers cachés en soient la raison.

Je publierai ces informations sur plusieurs pages que j'ai parcourues hier en essayant de déterminer la cause de ce problème étrange, donc vous pourriez voir cela ailleurs textuellement - je pensais juste que je mettrais le mot avant que quelqu'un d'autre ne se les arrache les cheveux par les racines essayant de comprendre pourquoi le compteur de performances a quelque chose à voir avec l'exécution de PSEXEC.

Windows Defender ou une autre protection contre les logiciels malveillants est-elle en cours d'exécution? Est-ce bloquant? Je sais que Windows Defender est capable de le faire.

La capture de trafic à l'aide de Wireshark peut souvent aider à localiser le problème dans ces situations. Vous pouvez regarder le trafic SMB et voir comment Windows essaie de s'authentifier ou s'il arrive même si loin en premier lieu dans le cas de pare-feu bloquant le trafic, etc.

Une autre chose à vérifier est de savoir si votre antivirus bloque psexecsvc.exe. Je viens de rencontrer ça avec Sophos. J'obtenais un accès refusé et j'ai vu que Sophos bloquait PSEXEC du journal des applications.