A questão é sobre o comando shutdown com /m \MACHINE switch, que pode ser usado para desligar (reinicializar, dormir, etc.) uma máquina Windows remotamente. No meu caso, estou lidando com uma rede doméstica local entre máquinas com Windows 7 e Windows 8. O grupo doméstico é desativado em todas as máquinas e a rede é gerenciada de maneira "tradicional", criando contas de usuário com senhas em todas as máquinas.
Eu li em algum lugar que, para executar esse comando remotamente, a conta de emissão também deve ser registrada na máquina do destinatário remoto como membro do Administrators group. Para testar esse comportamento do comando shutdown , configurei duas contas de usuário denominadas Test e Mike na máquina do Windows 7 Pro local (emissora). Ambas as contas pertenciam ao grupo Users regular.
Eu também fui para a máquina Windows 8 Pro remota (destinatária) chamada FILES e criei apenas uma conta chamada Mike como membro do Users group.
Agora, efetuei login como Test em minha máquina local e enviei uma
shutdown /m \FILES /r /f /t 0
comando no prompt de comando. Recebi imediatamente uma resposta "Acesso negado". Esse era o comportamento esperado. Até aí tudo bem.
Em seguida, efetuei login como Mike em minha máquina local e emiti o mesmo comando. Para minha surpresa, a máquina remota entrou imediatamente em reinicialização. O que dá?
Eu fui para a máquina remota e abri as configurações da Política de segurança local. Em seu grupo User Policies , encontrei políticas como
Force shutdown from a remote system = Administrators
Shut down the system = Administrators, Users
Eu removi Users da última política, deixando apenas Administrators .
Eu reiniciei a máquina remota, novamente logado como Mike em minha máquina local e emiti o mesmo comando. A máquina remota novamente foi compatível com a reinicialização.
O detalhe divertido aqui é que quando Mike está conectado em FILES localmente, ele não pode reinicializá-lo, pois Shut down the system policy está definido como Administrators , enquanto Mike é mero User . Mas o mesmo Mike pode reinicializar FILES remotamente.
Então, o que está acontecendo aqui? Por que eu posso reinicializar a máquina remota usando uma conta User ? Além disso, a política apropriadamente denominada Force shutdown from a remote system definida como Administrators parece sugerir que as contas regulares de User não devem ser capazes de fazê-lo. Ainda assim, reinicia.
O que estou perdendo aqui? O que permite que o comando de reinicialização remota passe? O que devo bloquear e onde evitar que Mike seja capaz de reinicializar a máquina FILES remotamente?
Uma investigação adicional mostra as seguintes entradas no log de eventos de FILES
The process wininit.exe (192.168.1.2) has initiated the restart of computer FILES
on behalf of user FILES\Administrator for the following reason: No title for this
reason could be found
Reason Code: 0x800000ff
Shutdown Type: restart
Comment:
Essas entradas correspondem a cada comando de reinicialização remota recebido por FILES . 192.168.1.2 neste caso é o endereço IP da máquina que emitiu o comando shutdown . Então, como @ misha256 sugeriu corretamente, o comando é realmente executado na máquina remota como se fosse emitido por Administrator . É por isso que as políticas atuais não bloqueiam isso.
Agora, a pergunta é onde ele conseguiu elevar de Mike para Administrator : na máquina local ou na máquina remota? E, claro, como e por que isso aconteceu ...