AnT*_*AnT 6 shutdown windows-7 remote security-policy windows-8
问题是关于shutdown带/m \\MACHINE开关的命令,它可用于远程关闭(重新启动、睡眠等)Windows 机器。就我而言,我正在处理 Windows 7 和 Windows 8 机器之间的本地家庭网络。所有机器上都禁用家庭组,并且通过在所有机器上创建带有密码的用户帐户,以“传统”方式管理网络。
我在某处读到,为了远程执行该命令,发行帐户也应该在远程收件人机器上注册为Administrators组成员。为了测试shutdown命令的这种行为,我在本地(发布)Windows 7 Pro 计算机上设置了两个名为Test和 的用户帐户Mike。这两个帐户都属于普通Users组。
我还去了远程(收件人)Windows 8 Pro 机器,FILES并在那里创建了一个名为组Mike成员的帐户Users。
现在,我以Test本地计算机的身份登录并发出
shutdown /m \\FILES /r /f /t 0
命令提示符下的命令。我立即收到了“拒绝访问”的回复。这是预期的行为。到现在为止还挺好。
然后我登录Mike到我的本地机器并发出相同的命令。令我惊讶的是,远程机器立即重新启动。是什么赋予了?
我去了远程机器并打开了它的本地安全策略设置。在它的User Policies小组中,我发现了这样的政策
Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users
我Users从后一个政策中删除,只Administrators留在那里。
我重新启动了远程机器,再次登录Mike到我的本地机器并发出相同的命令。远程机器再次合规地重新启动。
这里有趣的细节是,当他在本地Mike登录到FILES机器时,他无法重新启动它,因为Shut down the system策略设置为Administrators,而Mike只是User. 但同样Mike可以成功FILES远程重启。
那么,这里发生了什么?为什么我可以使用User级别帐户重新启动远程机器?此外,恰当命名的策略Force shutdown from a remote system集Administrators似乎表明普通User账户不应该能够做到这一点。然而它重新启动。
我在这里缺少什么?是什么让远程重启命令漏过?我应该阻止什么以及在哪里阻止Mike能够FILES远程重启机器?
进一步调查显示事件日志中的以下条目 FILES
The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES
on behalf of user FILES\Administrator for the following reason: No title for this
reason could be found
Reason Code: 0x800000ff
Shutdown Type: restart
Comment:
这些条目对应于 接收到的每个远程重启命令FILES。192.168.1.2在这种情况下是发出shutdown命令的机器的 IP 地址。因此,正如@misha256 正确建议的那样,该命令实际上是在远程计算机上执行的,就好像它是由Administrator. 这就是当前政策不阻止它的原因。
现在的问题是它设法从哪里提升Mike到Administrator:在本地机器上还是在远程机器上?而且,当然,它是如何以及为什么发生的......
我找到了罪魁祸首。
很久以前,用户Mike(已经存在了一段时间)想要连接到远程FILES机器上的管理共享之一,例如,\\FILES\C$。为了实现该用户Mike连接到FILES为Administrator,输入远程Administrator密码,并要求Windows来挽救他的凭据。凭据已保存。他们一直在控制面板的Credential Manager小程序中可见Windows Credentials。
显然,shutdown命令在收到来自远程机器的“拒绝访问”响应时会利用这些存储的凭据(或者,它可能立即无条件地利用这些存储的凭据)。这就是如何Mike能够提升自己的FILES\Administrator水平并成功重启远程机器。
一旦我从 中删除了存储的凭据Credential Manager,Mike立即开始从 中接收预期的“拒绝访问”响应shutdown。
| 归档时间: |
|
| 查看次数: |
3569 次 |
| 最近记录: |