我们所有的域计算机帐户 (machinename$) 在所有桌面上都具有“从网络访问此计算机”的权限。它们也属于域用户组,但不属于任何权限/管理员本地/域组。由于这些帐户可由最终用户通过其本地域桌面上的“psexec -s -i -d cmd.exe”使用 - 这种用法是否可以在网络上的其他域计算机上启用任何类型的 wmic winrs bitsadmin?此 cmd 允许使用该帐户而无需知道其密码,但可获得其接触网络上其他计算机的能力。我可以通过 regedit 枚举 ID、策略、共享名称... 取决于设置的权限。在我看来,我们需要删除此权限以防止在其他域计算机上使用此类工具(尤其是 winrs wmic bitsadmin)。我还无法通过网络使用 w cmd 和 bitsadmin。有人对此有什么想法吗?是的 - 我对此有点偏执... :)
答案1
取自这里:
漏洞
能够从其计算机连接到网络的用户可以访问他们有权限访问的目标计算机上的资源。例如,用户需要具有“从网络访问此计算机”用户权限才能连接到共享打印机和文件夹。如果将此用户权限分配给 Everyone 组,则该组中的任何人都可以读取这些共享文件夹中的文件。这种情况不太可能发生,因为 Windows Server 2012、Windows Server 2008 R2、Windows 8 和 Windows 7 的默认安装所创建的组不包括 Everyone 组。但是,如果计算机升级并且原始计算机将 Everyone 组作为其定义的用户和组的一部分,则该组将作为升级过程的一部分进行转换并存在于计算机上。
对策
将“从网络访问此计算机”用户权限限制为仅需要访问计算机的用户和组。例如,如果将此策略设置配置为管理员和用户组,则如果域用户组的成员包含在本地用户组中,则登录到域的用户可以访问从域中的服务器共享的资源。