关于net use和psexec无法使用本地管理员组用户建立连接的问题

IPC Access Deined

环境:

1
2
3
4
5

win7系统，存在域环境
域名：de1ay
普通域用户: de1ay\de1ay
域管理员用户：de1ay\Administrator
本地管理员用户: de1ay

当我尝试使用域用户de1ay\de1ay和本地管理员组的用户de1ay使用psexec连接目标Windows服务器执行命令时返回了拒绝访问

并且在使用net use建立IPC连接的时候返回了Access Denied

由图可见唯一成功的是使用域管用户de1ay\Administrator成功获取到cmd

可见de1ay属于本地管理员组，同时也存在域用户de1ay/de1ay

并且确定ADMIN$目录开启了共享

了解到Psexec是借助的IPC连接执行命令，那么尝试使用上面两组用户名进行IPC连接

只有域管用户成功建立了IPC连接，这里我注意到了de1ay/de1ay用户的全局组成员显示为Domain Users 看起来应该是普通的域成员，并非管理员，猜测是因为de1ay\de1ay是普通用户权限不足，所以无法建立连接
使用net localgroup Administrators查看本地的所有管理员用户中存在DE1AY\Domain Admins组，那么将de1ay\de1ay加入到该组中是否就可以成功连接呢

之后我在域控机器上将de1ay用户加入到Domain Admins组中

或者直接在目标机器上将de1ay/de1ay 添加到本地管理员组

再次尝试使用de1ay\de1ay用户连接
果然这次成功建立了对admin$目录的IPC连接

可成功使用Psexec弹回cmd

此时回到本地用户
在我修改了域控的密码复杂度等组策略并且在目标机器上启用了Administrator用户

这时发现使用本地用户的Administrator用户可以建立对admin$目录的IPC连接，而同为管理员组下的de1ay又是失败的

通过本地查询可以确定de1ay属于管理员组

既然域用户加入到管理员组后便可以成功建立IPC连接，为什么本地用户却又不行？

联想到微软 KB2871997 补丁使攻击者无法将哈希传递给非内置RID为500(Administrator)的管理用用户，猜测是否与补丁有关

但是通过查询补丁发现并没有安装KB2871997

而且网上也有一些即使未安装补丁也无法使用本地管理员组非RID500的用户进行哈希传递和安装了补丁也可以使用RID非500的用户完成哈希传递的案例（有些绕）

那么除了补丁外，还有什么会对这些行为造成影响？

这些问题的罪魁祸首是远程访问上下文中的用户帐户控制(UAC)令牌过滤

本地用户和域用户的访问控制

微软的 WindowsVistaUACDevReqs 文档中有如下描述

• User Account Control and Remote Scenarios：
  When an administrator logs on to a Windows Vista computer remotely, through Remote Desktop for instance, the user is logged on to the computer as a standard user by default. Remote administration has been modified to be restrictive over a network. This restriction helps prevent malicious software from performing application “loopbacks” if a user is running with an administrator access token.

• Local User Accounts：
  When a user with an administrator account in a Windows Vista computer’s local Security Accounts Manager (SAM) database remotely connects to a Windows Vista computer, the user has no elevation potential on the remote computer and cannot perform administrative tasks. If the user wants to administer the workstation with a SAM account, the user must interactively logon to the computer that he/she wishes to administer.

• Domain User Accounts：
  When a user with a domain user account logs on to a Windows Vista computer remotely, and the user is a member of the Administrators group, the domain user will run with a full administrator access token on the remote computer and UAC is disabled for the user on the remote computer for that session.

还有另一份 Description of User Account Control and remote restrictions in Windows Vista 中的描述

• Local user accounts (Security Account Manager user account):
  When a user who is a member of the local administrators group on the target remote computer establishes a remote administrative connection by using the net use * \remotecomputer\Share$ command, for example, they will not connect as a full administrator. The user has no elevation potential on the remote computer, and the user cannot perform administrative tasks. If the user wants to administer the workstation with a Security Account Manager (SAM) account, the user must interactively log on to the computer that is to be administered with Remote Assistance or Remote Desktop, if these services are available.

• Domain user accounts (Active Directory user account):
  A user who has a domain user account logs on remotely to a Windows Vista computer. And, the domain user is a member of the Administrators group. In this case, the domain user will run with a full administrator access token on the remote computer, and UAC will not be in effect.
  Note This behavior is not different from the behavior in Windows XP.

对于本地用户：

当使用远程计算机上本地管理员组成员的用户通过net use \\remotecomputer\ 命令建立IPC连接的时候不会以完全管理权限的管理员身份连接，用户无法在远程计算机上提升自己的权限，并且无法执行管理任务，如果用户希望使用安全账户管理器(SAM)中的用户管理服务器，则必须通过远程桌面连接来登录

同样在 官方文档在服务器管理器中配置远程管理 中有如下描述:

即使已启用远程管理，内置管理员帐户之外的本地管理员帐户也可能不具有远程管理服务器的权限。 必须将远程用户帐户控制（UAC） LocalAccountTokenFilterPolicy注册表设置配置为允许除内置管理员帐户之外的管理员组的本地帐户远程管理服务器。

以及Server Performance Advisor 用户指南：

如果目标服务器未加入域，请启用以下注册表设置：

HKLM\SOFTWARE\Microsoft\Windows\Currentversion\system\LocalAccountTokenFilterPolicy\策略。

这些都表明了：在不对系统设置进行更改的情况下，除默认的管理员账户外无法使用其他账户完成远程管理，除非采用RDP或加入域

对于域用户（Active Directory 账户）：

这里仍然有官方文档的解释 User Account Control and WMI

大致是说：如果你的计算机是域中的一部分，使用管理员组中的用户连接远程计算机，此时UAC 访问令牌过滤器不会生效，不要使用本地的、非域内用户的账户连接远程计算机，即使该用户属于管理员组

以及Description of User Account Control and remote restrictions in Windows Vista中的描述：

当使用域用户（并且该域用户属于管理员组）远程登录到计算机时，该用户会拥有完整的管理员权限，并且UAC会在该会话期间被禁用

以上便解释了为什么本地管理账户在利用IPC远程访问时会失败，但是域管理员账户可以成功。

而内置RID为500的管理员账户(Administrator)又是一个特殊情况，默认情况下内置管理员用户(Administrator，即使被重命名)使用了完整的管理特权(“完全令牌模式”)运行了所有的应用程序，这意味着账户控制没有生效，所以当使用该用户进行远程操作的时候会被授予完整的(未过滤的)令牌

Windows已经普遍默认禁用了Administrator用户，并且在域环境下，由于域控端设置的密码安全策略，会因为默认的空密码不满足域内密码安全策略中的密码最小长度导致无法在域机器中启用该账户，除非在域控机器上主动修改域内的密码安全策略

在官方文档中已经有了解决方法，通过修改注册表来解除对非默认管理员账户的限制：
在注册表中新建如下项：

1
2
3
4

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Value: LocalAccountTokenFilterPolicy
Data: 1 (to disable, 0 enables filtering)
Type: REG_DWORD (32-bit)

建立完成后再次测试
修改注册表前：

修改后：

成功建立的IPC连接，并且Psexec执行成功，whoami显示的也是本地用户的de1ay

再来试一下对于普通用户是否有影响

mssql即域内的一个普通用户

远程连接拒绝访问：

再创建了一个本地的普通用户来测试

本地的普通用户同样没有远程连接的权限

至此问题已经解决，可以确定的是：默认情况下，只有使用域用户，并且这个域用户在远程计算机的管理员组中的时候，可以直接进行连接，但本地管理员组中除Administrator用户外无法进行连接；
而在添加HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy之后，rid非500的本地管理员账户可以进行连接（不影响本地和域的普通用户），并且可以进行哈希传递攻击，在此情况下KB2871997补丁将不会有实际作用