psexec :“액세스가 거부되었습니다”?

이전 질문 에서 영감을 얻어 PSExec을 실험하고 있습니다.

목표는 하나의 WindowsXP 컴퓨터에서 상당히 간단한 스크립트 / 프로그램을 다른 WindowsXP 컴퓨터에서 분리하는 것입니다. PowerShell 2는 XP에서 원격으로 제거하지 않기 때문에 PSexec가 내 문제를 잘 해결할 것 같습니다.

그러나 "액세스가 거부되었습니다"라는 오류 외에는 아무것도 얻을 수 없습니다.

지금까지 시도한 내용은 다음과 같습니다.

서버 또는 도메인 컨트롤러가없는 작업 그룹에서 네트워크로 연결된 WindowsXP MCE 컴퓨터 한 쌍이 있습니다.

두 컴퓨터에서 "간단한 파일 공유"를 해제했습니다.

보안 정책에서 로컬 계정의 네트워크 액세스 : 공유 및 보안 모델은 두 시스템 모두에 대해 게스트가 아닌 클래식으로 설정됩니다.

암호를 알고있는 각 컴퓨터마다 관리 사용자가 있습니다. :)

" > psexec \\otherComputer -u adminUser cmd" 와 같은 명령 은 암호를 입력하라는 메시지를 표시하고 다음과 같이 종료합니다.

Couldn't access otherComputer:
Access is denied.

그래서이 시점에서 저는 커뮤니티로 향합니다. 여기서 어떤 단계를 놓치고 있습니까?

다음 레지스트리 DWORD를 원격 컴퓨터에 추가하면 문제가 해결됩니다.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

문제 해결됨.

기본적으로 Windows에서는 암호가 비어있는 사용자 계정으로 원격 액세스 할 수 없습니다. PSExec를 실험하기 위해 필요한 입력 유형을 줄이겠다 고 생각하면서 대상 컴퓨터의 관리자 계정 암호를 아무것도 변경하지 않았습니다. 그게 내 문제 였고 암호를 다시 넣으면 완벽하게 작동했습니다.

그러나 이것은 또 다른 조사를 시작했습니다-누군가 빈 암호로 PSExec를 사용하려면 Windows XP MCE에서 다음과 같이해야합니다.

• 제어판에서 관리 도구를 엽니 다.
• 로컬 보안 정책을 엽니 다.
• 로컬 정책-> 보안 옵션으로 이동하십시오.
• "계정 : 빈 암호의 로컬 계정 사용을 콘솔 로그온으로 만 제한"을 사용 안 함으로 변경

PSEXEC는 ADMIN $ 공유를 열 수 있어야하므로 동일한 자격 증명으로 확인하십시오.

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

입력하면

컴퓨터 이름

내 컴퓨터에 관리자 권한으로 인증되어 작동합니까?

이중 슬래시를 사용하고 시스템이 제거했다고 가정합니다.

표준 Windows 파일 공유가 켜져 있어야하며 방화벽을 통해 허용되어야합니다.

Windows 7의 높지 않은 명령 프롬프트에서 PSExec을 실행할 때이 오류가 발생했습니다. 관리자 권한 명령 프롬프트에서 명령을 실행하면 문제가 해결되었습니다.

PSEXEC (및 기타 PS 도구)가 실패하는 또 다른 이유를 발견했습니다. 바이러스 (예 : 바이러스 또는 트로이 목마)가 Windows 폴더 및 / 또는 파일을 숨기면 PSEXEC가 "액세스가 거부되었습니다"라는 오류와 함께 실패합니다. PSLIST "프로세서 성능 개체를 찾을 수 없음"오류가 발생하고 그 원인에 대해 어두운 곳이됩니다.

RDP를 사용할 수 있습니다. admin $ 공유에 액세스 할 수 있습니다. 드라이브 내용 등을 원격으로 볼 수는 있지만 파일이나 폴더가 숨겨져 있다는 표시는 없습니다.

나는이 이상한 문제의 원인을 알아 내려고 시도하면서 어제 꼼꼼하게 여러 페이지 에이 정보를 게시 할 것이므로 다른 곳에서 그대로 볼 수도 있습니다. 성능 카운터가 PSEXEC 실행과 관련이있는 이유를 이해하려고 노력합니다.

Windows Defender 또는 기타 맬웨어 방지 기능이 실행되고 있습니까? 차단 되나요? Windows Defender가 그렇게 할 수 있다는 것을 알고 있습니다.

Wireshark 를 사용하여 트래픽을 캡처 하면 이러한 상황에서 문제를 추적하는 데 도움이 될 수 있습니다. SMB 트래픽을 살펴보고 방화벽이 트래픽을 차단하는 등의 경우 Windows가 인증을 시도하는 방법 또는 처음까지 그 범위까지 도달했는지 확인할 수 있습니다.

확인해야 할 또 다른 사항은 안티 바이러스가 psexecsvc.exe를 차단하는지 여부입니다. 방금 Sophos와 함께 그 문제에 부딪 쳤습니다. 액세스 거부가 발생하여 Sophos가 응용 프로그램 로그에서 PSEXEC를 차단하고 있음을 확인했습니다.