Сегодня пойдет речь пожалуй о одной из самых популярных программ пакета Sysinternals - Psexec, если быть точнее о ее блокировке.
Psexec - если говорить проще, то это программа для работы с удаленным компьютером.
С помощью данной программы можно установить какое либо программное обеспечение с помощью ключей тихой установки или поработать с командой строкой удаленного компьютера. Некоторые администраторы в отсутствии System Center Configuration Manager в своей инфраструктуре использовали ее как основной инструмент при автоматизации установки программного обеспечения.
Принцип работы программы основан на создании службы на удаленном компьютере и взаимодействие с этой службой вашего компьютера.
Данную службу я и предлагаю заблокировать, для того чтобы исключить взаимодействие с удаленным компьютером.
Отмечу, что программа запускаться будет а вот соединиться с компьютером у которого заблокирована служба - не получится.
Для чего же данное программное обеспечение блокировать ?
PsExec используется ещё и для вредоносных целях злоумышленниками распространяющим вирусное ПО.
Однако отмечу, что без компрометации пароля учётной записи Администратора данная программа безопасна.
А вдруг скомпрометировали ?
Рассмотрим, как заблокировать запуск данной программы. Для этого, в папке где размещается ваша директория с
операционной системой (например c:\windows) создайте папку psexecsvc.exe (если присутствует файл службы - его необходимо удалить)
Далее попробуйте подключиться к данному компьютеру с помощью программы PsExec с другого компьютера.
Убедившись в том, что подключиться не возможно установите ntfs разрешения на папку так, чтобы Администраторы не имели доступа на удаления данной папки.
Описанное все выше будет актуально для корпоративной сети на работе.
Хотя наличие небольшой сети из нескольких компьютеров дома тоже уже давно не редкость.
Today we will talk about perhaps one of the most popular programs in the package Sysinternals - Psexec, to be more precise about the lock.
Psexec to put it more simply, it is a program to work with the remote computer.
With this program you can install any software using the silent installation or work with the command line of
the remote computer. Some administrators in the absence of System Center Configuration Manager in your
environment and use it as the main tool for automation of software installation.
The principle of the program is based on creating a service on the remote computer and the communication
with the service on your computer.
The service I propose to block, to eliminate interaction with the remote computer.
Note that the program will run but to connect to a computer which has blocked the service will not work.
What is the software block ?
PsExec is also used for malicious purposes by attackers to distribute malware.
I note, however, that no compromise of the password of the Administrator account the program safe.
And suddenly compromised ?
Consider how to block the launch of this program.
For this, in the folder where is located your directory with the operating system (e.g. c:\windows) create
a folder psexecsvc.exe (if there is a file service, you need to remove it)
Then try to connect to this computer using psexec from another computer.
Making sure that connect is not possible, install the ntfs permissions on the folder so that Administrators
do not have access to delete this folder.
All described above is true for corporate network at work.
Although the presence of a small network of several computers at home is also no longer a rarity.