Учетные данные Альтернативы PsExec

"Альтернативные Учетные данные" разделяют ранее в этой главе, описанной использование -u и -p параметров, чтобы обеспечить явные учетные данные для утилит PsTools. Если эти опции не используются, учетная запись зарегистрированного пользователя, которая выполняет PsExec, используется, чтобы аутентифицировать к удаленной системе, и затем что учетная запись является олицетворением удаленным процессом, запущенным PsExec. Это повышает несколько проблем:

■                Чтобы запустить процесс в удаленной системе, PsExec должен использовать учетную запись, которая имеет административные права в удаленной системе.

■                Если удаленные ресурсы сети доступов процесса, это будет аутентифицировать как анонимный, если делегации Kerberos не включили. Это - ограничение с одним транзитным участком ­олицетворения: компьютер, на котором сеанс входа в систему устанавливается с явными учетными данными, может аутентифицировать к удаленному серверу, который может явиться олицетворением того контекста защиты на той системе, но процесс на удаленном компьютере не может тогда использовать контекст защиты, чтобы аутентифицировать к третьей системе.

■                Явленный олицетворением контекст защиты не будет включать SID входа в систему, которые предоставили бы этому доступ к любым интерактивным пользовательским сеансам.

Следует обеспечить явные учетные данные, если выполнение учетной записи, у PsExec нет административного доступа к удаленному компьютеру, если удаленный процесс требует аутентифицируемого доступа к сетевым ресурсам, или если удаленный процесс должен работать на интерактивном пользовательском рабочем столе. Когда явные учетные данные предоставляются, они используются, чтобы аутентифицировать к удаленной системе, и затем создать новый сеанс входа в систему, который может работать на определенном интерактивном рабочем столе.

-u и-p параметры могут также использоваться, запуская процесс на локальном компьютере способом, подобным RunAs.exe. И как с RunAs.exe, из-за UAC целевой процесс не будет иметь полных административных прав на Windows Vista или более новый, даже если учетная запись пользователя будет элементом группы Администраторов (если Вы не определяете-h, описал позже).

Важный. Имя пользователя и пароль, используемый, чтобы создать новый сеанс входа в систему, передаются к удаленной системе в четком — то есть, нешифруются. Любой сниффинг сеть будет в состоянии получить эти учетные данные. Полагайте, что конфигурирование Вашей сети использует IPsec с ESP (Инкапсулирующий Полезную нагрузку Безопасности), чтобы зашифровать всю связь.

Параметры командной строки PsExec

Давайте смотреть на параметры командной строки PsExec. Они управляют аспектами производительности процесса, отдаляют связь, среду выполнения, и должен ли PsExec ожидать целевого процесса, чтобы выйти. Таблица 6-1 суммирует эти опции, которые обсуждаются более подробно после таблицы.