181 ответов в этой теме

[Kirill Polubelov]

>> хотя на папку можно войти, удалить

 

Входите, выходите вы пользователем домена.

psexec выполняется от имени локальной системы

Данная машина в домене?

[Lordich]

Да, данная машина в домене, а во вкладке доступ нужно ли давать права на кого-то ещё или ВСЕ - достаточно ?

[Kirill Polubelov]

На машину

[Lordich]

 Снимок.JPG   112,62К   0 Скачано разВ том-то и дело, что на вкладке доступ, в размещении, нет компьютеров 

[Lordich]

немножко ступил, ) добавил машину XP в разрешённые, полный доступ, psexec всё равно показывает отказано в доступе

[Kirill Polubelov]

Есть, на вкладке Share надо выбирать не просто кнпоку Share..., а кнопку ниже, Advanced Sharing... ну и включить дам, для поиска доп. контейнеры.

[Kirill Polubelov]

>> psexec всё равно показывает отказано в доступе

 

Не знаю, можно ли, надо ли, в данном случае, ориентироваться на эту утилиту.

Я бы предложил, все-таки, задать политики (по доке), раз права уже задали и попробовать их применение.

Сообщение было изменено Kirill Polubelov: 06 Апрель 2016 - 17:03

[IlyaS]

Может хотфикс на xp sp3 какой-то нужен из списка?

Все же надеюсь, что вам удастся с правами разобраться.

[Lordich]

После удаления, добавления неоднакратного GPO в политиках компьютера, переназначения шары) на XP перестали применяться политики) т.е. если посмотреть логи, написано, что политики применились, но про dr.web agent ни слова, замучил я хрюху окончательно?)

[IlyaS]

Хрюха любит иногда gpupdate /force получать.

Без проблем накатил 7z938.msi на видавшую апдейты XP SP3.

Ща чистую поищу.

Сообщение было изменено IlyaS: 06 Апрель 2016 - 17:28

[Lordich]

Новая политика применилась, но опять нет доступа на ресурс. Я уже не знаю что шаре нужно добавить)  Снимок.JPG   97,55К   0 Скачано раз

[Lordich]

Права на шару, кто ему ещё нужен ? итак все и вся  1.JPG   100,82К   0 Скачано раз  2.JPG   104,49К   0 Скачано раз  3.JPG   137,88К   0 Скачано раз

[IlyaS]

Давайте уже без картинок, от них в глазах рябит. Со станции под аккаунтом пользователя домена выполните в cmd:

whoami
net use
net view \\192.168.98.115
dir \\192.168.98.115\share
accesschk.exe \\192.168.98.115\share

картинку или текст консоли сюди приложите.

[Lordich]

Готова консоль

Прикрепленные файлы:

•  Снимок.JPG   60,63К   0 Скачано раз

[IlyaS]

Результата 1, 2 и последней команд нет. На весь экран окно сделайте, чтобы влезало.
То, что остальные команды что-то там выводят, это конечно радует, но условия при которых они это выводят непонятны.

[Lordich]

Вот на весь экран, он не понимает некоторые команды чтоль

Прикрепленные файлы:

•  Безымянный.jpg   113,88К   0 Скачано раз

[Lordich]

и такое вот есть

Прикрепленные файлы:

•  Снимок.JPG   85,36К   0 Скачано раз

[IlyaS]

Да, accesschk выходит из гонки на XP.
whoami есть в WindowsXP-KB838079-SupportTools-ENU.exe если есть желание его поставить, но можно и просто

echo %USERDOMAIN%\%USERNAME%

Смысл в том, чтобы убедиться, что пользователь доменный. Могу и на слово поверить.

По ходу, осталось понять, почему системе нет доступа в папку сервера. А для этого лучше смотреть журнал безопасности сервера. В локальной политике безопасности сервера включите "Локальные политики", "Политика аудита", "Аудит входа в систему" и "Аудит событий входа в систему", успехи и отказы.
Далее запротоколируйте в логе, что будет после выполнения на XP:

psexec -s -e cmd /c dir \\192.168.98.115\share

Если сервер контроллер домена, лучше завести эти настройки в отдельной политике и назначить ее контроллерам домена.
Результат лучше экспортировать в .evtx прямо из журнала событий.
Да, на станции также можно включить аудит событий и приложить журнал безопасности.

Сообщение было изменено IlyaS: 06 Апрель 2016 - 18:50

[Lordich]

Доброе утро, выкладываю журнал безопасности с сервера, после проведённых процедул ( сервер др.веб, на нём же папка share с жистрибутивом агента)

 

Spoiler

Ключевые слова Дата и время Источник Код события Категория задачи

Аудит успеха 07.04.2016 9:59:28 Microsoft-Windows-Security-Auditing 4672 Специальный вход "Новому сеансу входа назначены специальные привилегии.

 

Субъект:

ИД безопасности: система

Имя учетной записи: система

Домен учетной записи: NT AUTHORITY

Код входа: 0x3e7

 

Привилегии: SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege"

Аудит успеха 07.04.2016 9:59:28 Microsoft-Windows-Security-Auditing 4624 Вход в систему "Вход с учетной записью выполнен успешно.

 

Субъект:

ИД безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Код входа: 0x3e7

 

Тип входа: 5

 

Новый вход:

ИД безопасности: система

Имя учетной записи: система

Домен учетной записи: NT AUTHORITY

Код входа: 0x3e7

GUID входа: {00000000-0000-0000-0000-000000000000}

 

Сведения о процессе:

Идентификатор процесса: 0x1f4

Имя процесса: C:\Windows\System32\services.exe

 

Сведения о сети:

Имя рабочей станции:

Сетевой адрес источника: -

Порт источника: -

 

Сведения о проверке подлинности:

Процесс входа: Advapi  

Пакет проверки подлинности: Negotiate

Промежуточные службы: -

Имя пакета (только NTLM): -

Длина ключа: 0

 

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

 

Поля ""Субъект"" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба ""Сервер"", или локальный процесс, такой как Winlogon.exe или Services.exe.

 

В поле ""Тип входа"" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

 

Поля ""Новый вход"" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

 

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

 

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.

- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.

- В поле ""Промежуточные службы"" указано, какие промежуточные службы участвовали в данном запросе на вход.

- Поле ""Имя пакета"" указывает на подпротокол, использованный с протоколами NTLM.

- Поле ""Длина ключа"" содержит длину созданного ключа сеанса. Это поле может иметь значение ""0"", если ключ сеанса не запрашивался."

Аудит успеха 07.04.2016 9:58:53 Microsoft-Windows-Security-Auditing 4634 Выход из системы "Выполнен выход учетной записи из системы.

 

Субъект:

ИД безопасности: АНОНИМНЫЙ ВХОД

Имя учетной записи: АНОНИМНЫЙ ВХОД

Домен учетной записи: NT AUTHORITY

Код входа: 0x785777

 

Тип входа: 3

 

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения ""Код входа"". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере."

Аудит успеха 07.04.2016 9:58:42 Microsoft-Windows-Security-Auditing 4624 Вход в систему "Вход с учетной записью выполнен успешно.

 

Субъект:

ИД безопасности: NULL SID

Имя учетной записи: -

Домен учетной записи: -

Код входа: 0x0

 

Тип входа: 3

 

Новый вход:

ИД безопасности: АНОНИМНЫЙ ВХОД

Имя учетной записи: АНОНИМНЫЙ ВХОД

Домен учетной записи: NT AUTHORITY

Код входа: 0x785777

GUID входа: {00000000-0000-0000-0000-000000000000}

 

Сведения о процессе:

Идентификатор процесса: 0x0

Имя процесса: -

 

Сведения о сети:

Имя рабочей станции: TEST

Сетевой адрес источника: 192.168.99.107

Порт источника: 2673

 

Сведения о проверке подлинности:

Процесс входа: NtLmSsp 

Пакет проверки подлинности: NTLM

Промежуточные службы: -

Имя пакета (только NTLM): NTLM V1

Длина ключа: 0

 

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

 

Поля ""Субъект"" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба ""Сервер"", или локальный процесс, такой как Winlogon.exe или Services.exe.

 

В поле ""Тип входа"" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

 

Поля ""Новый вход"" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

 

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

 

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.

- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.

- В поле ""Промежуточные службы"" указано, какие промежуточные службы участвовали в данном запросе на вход.

- Поле ""Имя пакета"" указывает на подпротокол, использованный с протоколами NTLM.

- Поле ""Длина ключа"" содержит длину созданного ключа сеанса. Это поле может иметь значение ""0"", если ключ сеанса не запрашивался."

Аудит успеха 07.04.2016 9:51:36 Microsoft-Windows-Security-Auditing 4719 Аудит изменения политики "Изменена политика аудита системы.

 

Субъект:

Идентификатор безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Идентификатор входа: 0x3e7

 

Изменение политики аудита:

Категория: Вход учетной записи

Подкатегория: Служба проверки подлинности Kerberos

GUID подкатегории: {0CCE9242-69AE-11D9-BED3-505054503030}

Изменения: Добавленные с ошибкой"

Аудит успеха 07.04.2016 9:51:36 Microsoft-Windows-Security-Auditing 4719 Аудит изменения политики "Изменена политика аудита системы.

 

Субъект:

Идентификатор безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Идентификатор входа: 0x3e7

 

Изменение политики аудита:

Категория: Вход учетной записи

Подкатегория: Другие события входа учетных записей

GUID подкатегории: {0CCE9241-69AE-11D9-BED3-505054503030}

Изменения: Успешно добавленные, Добавленные с ошибкой"

Аудит успеха 07.04.2016 9:51:36 Microsoft-Windows-Security-Auditing 4719 Аудит изменения политики "Изменена политика аудита системы.

 

Субъект:

Идентификатор безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Идентификатор входа: 0x3e7

 

Изменение политики аудита:

Категория: Вход учетной записи

Подкатегория: Операции с билетами службы Kerberos

GUID подкатегории: {0CCE9240-69AE-11D9-BED3-505054503030}

Изменения: Добавленные с ошибкой"

Аудит успеха 07.04.2016 9:51:36 Microsoft-Windows-Security-Auditing 4719 Аудит изменения политики "Изменена политика аудита системы.

 

Субъект:

Идентификатор безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Идентификатор входа: 0x3e7

 

Изменение политики аудита:

Категория: Вход учетной записи

Подкатегория: Проверка учетных данных

GUID подкатегории: {0CCE923F-69AE-11D9-BED3-505054503030}

Изменения: Добавленные с ошибкой"

Аудит успеха 07.04.2016 9:51:23 Microsoft-Windows-Security-Auditing 4719 Аудит изменения политики "Изменена политика аудита системы.

 

Субъект:

Идентификатор безопасности: система

Имя учетной записи: SERV9$

Домен учетной записи: AUPCH

Идентификатор входа: 0x3e7

 

к сожаленью файлик txt слишком велик отчёта, а другого формата не разрешает выложить на форум evtx, пришлось так, видно в отчёте ip машинки на XP 192.168.99.107

 

Сообщение было изменено maxic: 07 Апрель 2016 - 10:31

[IlyaS]

Релевантно:

Spoiler

ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0
Тип входа: 3

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x785777
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: TEST
Сетевой адрес источника: 192.168.99.107
Порт источника: 2673

Сведения о проверке подлинности:
Процесс входа: NtLmSsp 
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1

XP лезет в папку анонимно по NTLMv1. Попробуйте применить на XP FixIt из KB2793313.