A questão é sobre o comando shutdown
com /m \MACHINE
switch, que pode ser usado para desligar (reinicializar, dormir, etc.) uma máquina Windows remotamente. No meu caso, estou lidando com uma rede doméstica local entre máquinas com Windows 7 e Windows 8. O grupo doméstico é desativado em todas as máquinas e a rede é gerenciada de maneira "tradicional", criando contas de usuário com senhas em todas as máquinas.
Eu li em algum lugar que, para executar esse comando remotamente, a conta de emissão também deve ser registrada na máquina do destinatário remoto como membro do Administrators
group. Para testar esse comportamento do comando shutdown
, configurei duas contas de usuário denominadas Test
e Mike
na máquina do Windows 7 Pro local (emissora). Ambas as contas pertenciam ao grupo Users
regular.
Eu também fui para a máquina Windows 8 Pro remota (destinatária) chamada FILES
e criei apenas uma conta chamada Mike
como membro do Users
group.
Agora, efetuei login como Test
em minha máquina local e enviei uma
shutdown /m \FILES /r /f /t 0
comando no prompt de comando. Recebi imediatamente uma resposta "Acesso negado". Esse era o comportamento esperado. Até aí tudo bem.
Em seguida, efetuei login como Mike
em minha máquina local e emiti o mesmo comando. Para minha surpresa, a máquina remota entrou imediatamente em reinicialização. O que dá?
Eu fui para a máquina remota e abri as configurações da Política de segurança local. Em seu grupo User Policies
, encontrei políticas como
Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users
Eu removi Users
da última política, deixando apenas Administrators
.
Eu reiniciei a máquina remota, novamente logado como Mike
em minha máquina local e emiti o mesmo comando. A máquina remota novamente foi compatível com a reinicialização.
O detalhe divertido aqui é que quando Mike
está conectado em FILES
localmente, ele não pode reinicializá-lo, pois Shut down the system
policy está definido como Administrators
, enquanto Mike
é mero User
. Mas o mesmo Mike
pode reinicializar FILES
remotamente.
Então, o que está acontecendo aqui? Por que eu posso reinicializar a máquina remota usando uma conta User
? Além disso, a política apropriadamente denominada Force shutdown from a remote system
definida como Administrators
parece sugerir que as contas regulares de User
não devem ser capazes de fazê-lo. Ainda assim, reinicia.
O que estou perdendo aqui? O que permite que o comando de reinicialização remota passe? O que devo bloquear e onde evitar que Mike
seja capaz de reinicializar a máquina FILES
remotamente?
Uma investigação adicional mostra as seguintes entradas no log de eventos de FILES
The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES
on behalf of user FILES\Administrator for the following reason: No title for this
reason could be found
Reason Code: 0x800000ff
Shutdown Type: restart
Comment:
Essas entradas correspondem a cada comando de reinicialização remota recebido por FILES
. 192.168.1.2
neste caso é o endereço IP da máquina que emitiu o comando shutdown
. Então, como @ misha256 sugeriu corretamente, o comando é realmente executado na máquina remota como se fosse emitido por Administrator
. É por isso que as políticas atuais não bloqueiam isso.
Agora, a pergunta é onde ele conseguiu elevar de Mike
para Administrator
: na máquina local ou na máquina remota? E, claro, como e por que isso aconteceu ...