Quem tem o direito de desligar remotamente uma máquina Windows?

5

A questão é sobre o comando shutdown com /m \MACHINE switch, que pode ser usado para desligar (reinicializar, dormir, etc.) uma máquina Windows remotamente. No meu caso, estou lidando com uma rede doméstica local entre máquinas com Windows 7 e Windows 8. O grupo doméstico é desativado em todas as máquinas e a rede é gerenciada de maneira "tradicional", criando contas de usuário com senhas em todas as máquinas.

Eu li em algum lugar que, para executar esse comando remotamente, a conta de emissão também deve ser registrada na máquina do destinatário remoto como membro do Administrators group. Para testar esse comportamento do comando shutdown , configurei duas contas de usuário denominadas Test e Mike na máquina do Windows 7 Pro local (emissora). Ambas as contas pertenciam ao grupo Users regular.

Eu também fui para a máquina Windows 8 Pro remota (destinatária) chamada FILES e criei apenas uma conta chamada Mike como membro do Users group.

Agora, efetuei login como Test em minha máquina local e enviei uma

shutdown /m \FILES /r /f /t 0

comando no prompt de comando. Recebi imediatamente uma resposta "Acesso negado". Esse era o comportamento esperado. Até aí tudo bem.

Em seguida, efetuei login como Mike em minha máquina local e emiti o mesmo comando. Para minha surpresa, a máquina remota entrou imediatamente em reinicialização. O que dá?

Eu fui para a máquina remota e abri as configurações da Política de segurança local. Em seu grupo User Policies , encontrei políticas como

Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users 

Eu removi Users da última política, deixando apenas Administrators .

Eu reiniciei a máquina remota, novamente logado como Mike em minha máquina local e emiti o mesmo comando. A máquina remota novamente foi compatível com a reinicialização.

O detalhe divertido aqui é que quando Mike está conectado em FILES localmente, ele não pode reinicializá-lo, pois Shut down the system policy está definido como Administrators , enquanto Mike é mero User . Mas o mesmo Mike pode reinicializar FILES remotamente.

Então, o que está acontecendo aqui? Por que eu posso reinicializar a máquina remota usando uma conta User ? Além disso, a política apropriadamente denominada Force shutdown from a remote system definida como Administrators parece sugerir que as contas regulares de User não devem ser capazes de fazê-lo. Ainda assim, reinicia.

O que estou perdendo aqui? O que permite que o comando de reinicialização remota passe? O que devo bloquear e onde evitar que Mike seja capaz de reinicializar a máquina FILES remotamente?

Uma investigação adicional mostra as seguintes entradas no log de eventos de FILES

The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES 
on behalf of user FILES\Administrator for the following reason: No title for this 
reason could be found
 Reason Code: 0x800000ff
 Shutdown Type: restart
 Comment: 

Essas entradas correspondem a cada comando de reinicialização remota recebido por FILES . 192.168.1.2 neste caso é o endereço IP da máquina que emitiu o comando shutdown . Então, como @ misha256 sugeriu corretamente, o comando é realmente executado na máquina remota como se fosse emitido por Administrator . É por isso que as políticas atuais não bloqueiam isso.

Agora, a pergunta é onde ele conseguiu elevar de Mike para Administrator : na máquina local ou na máquina remota? E, claro, como e por que isso aconteceu ...

    
por AnT 27.02.2015 / 05:43

2 respostas

4

Eu encontrei o culpado.

Há muito tempo, o usuário Mike (que já existe há algum tempo) queria se conectar a um dos compartilhamentos administrativos na máquina FILES remota, digamos, \FILES\C$ . Para obter esse usuário Mike conectado a FILES como Administrator , digitando a senha Administrator remota e pedindo ao Windows para salvar suas credenciais . As credenciais foram salvas. O tempo todo em que eles estavam visíveis no applet Credential Manager do Painel de Controle em Windows Credentials .

Aparentemente, o comando shutdown aproveita essas credenciais armazenadas quando recebe uma resposta "Acesso negado" da máquina remota (ou, talvez, tire proveito dessas credenciais armazenadas imediatamente, incondicionalmente). É assim que Mike conseguiu elevar-se para FILES\Administrator level e reinicializar com sucesso a máquina remota.

Depois que removi a credencial armazenada de Credential Manager , Mike imediatamente começou a receber a resposta esperada "Acesso negado" de shutdown .

    
por 27.02.2015 / 16:47
0

Se o login na máquina de destino for válido, ele deve funcionar, independentemente de o tipo de conta ser administrador ou usuário, pois os usuários padrão têm o direito de desligar ou reinicializar a estação. A exceção para isso é apenas se os direitos foram revogados através da política de segurança.

    
por 27.02.2015 / 07:27