psshutdown / schtasks na vzdálené pc

[licantrop]

Mám dotaz ohledně připojování k vzdálenému pc
PSSHUTDOWN - napíše Přístup odepřen
SCHTASKS - napíše Požadavek není podporován

Na vzdáleném PC WIn7 mám vypnutý firewall do příkazu zadávám přihlašovací údaje s právy administrátora
Už fakt nevim co s tim.

- jen pro zkoušku, když v příkazu psshutdown zadám třeba špatně heslo, tak to napíše že je špatné heslo. Z toho usuzuji, že problém bude někde na vzdáleném PC snad se zabezpečením? Ale když je firewall vypnut??? Nechápu

[Milanr1]

Nesdělil jsi edici OS.
Předpokládám W7 Pro.
Fatální bezpečnostní chyba:

Na vzdáleném PC WIn7 mám vypnutý firewall

Bezpečnostní prvky nevypínat!
Není dokonce vypnutý UAC?
Je nastavena politika pro hesla?
Nevyskytuje se ve vzdáleném OS nějaký účet bez hesla?
Používáš běžný účet s admin právy, ne anonymní Administrator?
Jsou v obou OS synchronizované účty/hesla?
Btw:
proč nepoužíváš integrovaný shutdown?

[vladimir]

A nemáš tam nainstalovaný nějaký antivirový balík, který v sobě má integrovaný ještě jeden firewall?

Jinak Google radí zkusit v registrech HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System nastavit klíč LocalAccountTokenFilterPolicy na 1. Pokud neexistuje, vytvořit.
https://forum.sysinternals.com/access-d ... 19878.html

[licantrop]

Nesdělil jsi edici OS.
Předpokládám W7 Pro.
Fatální bezpečnostní chyba:

Na vzdáleném PC WIn7 mám vypnutý firewall

Bezpečnostní prvky nevypínat!
Není dokonce vypnutý UAC?
Je nastavena politika pro hesla?
Nevyskytuje se ve vzdáleném OS nějaký účet bez hesla?
Používáš běžný účet s admin právy, ne anonymní Administrator?
Jsou v obou OS synchronizované účty/hesla?
Btw:
proč nepoužíváš integrovaný shutdown?

Nedi edice v tomto případě jedno? Jinak je to 64bit PRO
samozřejmě vím, že je to chyba, je to vypnuté jen když jsem zkoušel komunikaci se scriptem
Politika pro hesla? Nastavena není a nevím jakou spojitost má se scriptem?
Účet bez hesla není
Používam účet s admin právy
Synchronizované účty nejsou a nemusí být, proto používám Psshutdown
shutdown nepoužívám právě kuli nutnosti mít synchronizované účty (script bude kominikovat cca s 20pc) a hlavně! příkazu shutdown nejde nastavit parametr času. Pouze odpočítávání.

-- 6. 5. 2017 22:38 --

A nemáš tam nainstalovaný nějaký antivirový balík, který v sobě má integrovaný ještě jeden firewall?

Jinak Google radí zkusit v registrech HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System nastavit klíč LocalAccountTokenFilterPolicy na 1. Pokud neexistuje, vytvořit.
https://forum.sysinternals.com/access-d ... 19878.html

Nemám, průchod by měl být čistý, ikdyž mi to taky tak připadá...
To s těma registrama jsem taky viděl, ale do registrů se hrabat nechci. Spíš jsem myslel, ještli mi to neodchytává nějaká blbost...

[Milanr1]

Jasně, že Psshutdown disponuje rozšířenými funkcemi.
Pokud jsi správcem LAN, měl bys mít v každé WKS vlastní admin účet se stejným (silným) heslem.
Pak můžeš mít jediný skriptík pro celé LAN a nemusíš zadávat název účtu/heslo.
V jednoduchosti je krása! A navíc nemusíš dumat, kde jsi spáchal chybu.

ještli mi to neodchytává nějaká blbost...

Přesnou příčinu zjistíš v Security logu každého OS, kde jsi páchal pokusy.
Pak se pochlub.

[licantrop]

Stejný účet by tam být měl, ale to je na delší vysvětlování. Zkrátka PC která se mají vypínat jsou takové "podřadné" stanice. Ale abych to nezakecal, samozřejmě i shutdown jsem zkosil a na jednom PC synchronizoval účty a výsledek stejný "přístup byl odepřen".
No a ted otázka kde we windowsech najdu security log?

[Milanr1]

Stejně jako ostatní logy už od W2000:

Kód: Vybrat vše

Eventwvr.msc

V české mutaci se jmenuje Zabezpečení.

[licantrop]

No, tak přiznam se, že jsem z toho jelen
Z logu:
Úspěšný audit; ID události:4672; zvláštní přihlášení
Úspěšný audit; ID události:4672; zvláštní přihlášení
Úspěšný audit; ID události:4624; přihlášení
Úspěšný audit; ID události:4634; odhlášení

Toto se zobrazuje po provedení scriptu

[JirkaVejrazka]

Pokud jsi správcem LAN, měl bys mít v každé WKS vlastní admin účet se stejným (silným) heslem.

Pokud pracujes v nejake mensi firme, tak klidne. Pokud jde o firmu, kde trochu zalezi na bezpecnosti, tak bys presne tohle mit nemel, protoze pak kompromitace jedne stanice znamena kompromitaci vsech.

[Milanr1]

Z logu:
Úspěšný audit; ID události:4672; zvláštní přihlášení

Podstatný je text hlášky, ne název.
ID 4672 = vzdálené přihlášení admina libovolným protokolem;
ID 4624 = vzdálené přihlášení jiného uživatele než aktuálně přihlášeného ke konzoli pomocí služby seclogon.

kompromitace jedne stanice znamena kompromitaci vsech.

Platí pro jakékoliv LAN, nejen pro rozsáhlé.
Pokud není zřízený AD, není jiná smysluplná a prakticky použitelná možnost. Bezpečné heslo (nebo lépe: dvoufaktorová autentikace) to jistí.

[JirkaVejrazka]

Platí pro jakékoliv LAN, nejen pro rozsáhlé.

Ja jsem nekde psal, ze to plati jen pro rozsahle site?

Bezpecne heslo je bezpecne jen do prvni kompromitace sikovnym utocnikem. Ale na 2FA se shodneme.

[licantrop]

Z logu:
Úspěšný audit; ID události:4672; zvláštní přihlášení

Podstatný je text hlášky, ne název.
ID 4672 = vzdálené přihlášení admina libovolným protokolem;
ID 4624 = vzdálené přihlášení jiného uživatele než aktuálně přihlášeného ke konzoli pomocí služby seclogon

Tak ted to semnou asi bude těžší. Vidíte v tomto výpisu něco špatně?

[Nargon]

Já tam nic špatně nevidím. Je to log o přihlášení. Na tom není nic špatného ani dobrého, ten je prostě neutrální a jen zobrazuje informace o přihlášení.
Zda je tam něco špatně musíš říct ty, zda to byl oprávněný přístup na základě nějakého požadavku, a nebo se tam dostal někdo kdo tam neměl co dělat.