psexec: "Acceso denegado"?

Inspirado por mi pregunta anterior aquí , he estado experimentando con PSExec.

El objetivo es desconectar algunos scripts / programas bastante simples en una máquina WindowsXP de otra, y como PowerShell 2 aún no hace remotos en XP, parece que PSexec resolverá mis problemas muy bien.

Sin embargo, no puedo obtener nada más que el error "Acceso denegado".

Esto es lo que he probado hasta ahora:

Tengo un par de máquinas Windows XP MCE, conectadas en red en un grupo de trabajo sin un servidor o controlador de dominio.

He desactivado el "intercambio simple de archivos" en ambas máquinas.

Según la política de seguridad, el modelo de acceso a la red: uso compartido y seguridad para cuentas locales está configurado en Clásico, no en Invitado para ambas máquinas.

Hay un usuario administrativo para cada computadora que conozco las contraseñas. :)

Con todo eso, un comando como " > psexec \\otherComputer -u adminUser cmd" solicita la contraseña (como debería) y luego sale con:

Couldn't access otherComputer:
Access is denied.

Entonces, en este punto me dirijo a la comunidad. ¿Qué paso me estoy perdiendo aquí?

Agregue el siguiente registro DWORD a la computadora remota y debería solucionar el problema.

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Problema resuelto.

Resulta que, de forma predeterminada, Windows no le permitirá acceder de forma remota con una cuenta de usuario con una contraseña vacía. Con el fin de experimentar con PSExec, cambié la contraseña de la cuenta de administrador en la máquina de destino a nada, pensando que reduciría la cantidad de tipeo necesaria. Resulta que ese era mi problema, y ​​una vez que devolví la contraseña, todo funcionó a la perfección.

Sin embargo, esto desencadenó otra investigación: si alguien quiere usar PSExec con una contraseña vacía, esto es lo que debe hacer (en Windows XP MCE, de todos modos):

• En el Panel de control, abra Herramientas administrativas.
• Política de seguridad local abierta.
• Vaya a Políticas locales -> Opciones de seguridad
• Cambie "Cuentas: limite el uso de la cuenta local de contraseñas en blanco solo para iniciar sesión en la consola" a Desactivado

Creo que PSEXEC se basa en poder abrir la acción ADMIN $, así que verifique eso con las mismas credenciales,

net use \\otherComputer\ADMIN$ /user:otherComputer\adminUser *

Si escribes

\\nombre de la computadora

en mi computadora y autenticado como adminUser ¿funciona?

Supongo que usaste una barra doble y el sistema la despojó.

Es necesario que el uso compartido de archivos estándar de Windows esté activado y permitido a través del firewall para que esto funcione.

Encontré este error al ejecutar PSExec desde un símbolo del sistema no elevado (en Windows 7). La ejecución del comando desde un símbolo del sistema elevado lo arregló.

Encontré otra razón por la que PSEXEC (y otras herramientas de PS) fallan: si algo (por ejemplo, un virus o un troyano) oculta la carpeta de Windows y / o sus archivos, PSEXEC fallará con un error de "Acceso denegado", PSLIST mostrará el error "No se encontró el objeto de rendimiento del procesador" y no podrá ver el motivo.

Puede RDP en; Puede acceder al administrador $ share; Puede ver el contenido de la unidad de forma remota, etc., etc., pero no hay indicios de que el (los) archivo (s) o carpeta (s) que se ocultan sea la razón.

Publicaré esta información en varias páginas que estuve examinando ayer mientras trataba de determinar la causa de este extraño problema, por lo que podría ver esto en otra parte literalmente, solo pensé que hablaría antes de que alguien más les arrancara el pelo de raíz tratando de entender por qué el contador de rendimiento tiene algo que ver con la ejecución de PSEXEC.

¿Se está ejecutando Windows Defender u otra protección contra malware? ¿Está bloqueando? Sé que Windows Defender es capaz de hacerlo.

Capturar el tráfico con Wireshark a menudo puede ayudar a rastrear el problema en estas situaciones. Puede mirar el tráfico de SMB y ver cómo Windows intenta autenticarse o si incluso llega tan lejos en primer lugar en el caso de los firewalls que bloquean el tráfico, etc.

Otra cosa que debe verificar es si su antivirus está bloqueando psexecsvc.exe. Me encontré con eso con Sophos. Estaba recibiendo un acceso denegado y vi que Sophos estaba bloqueando PSEXEC del registro de la aplicación.