国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

網(wǎng)傳Kb2871997 是限制遠程訪問的主要原因，測試一下

01 工作組環(huán)境下

①主機B：win7 ，192.168.18.156 ，未打Kb2871997補丁

用戶 win7 非500的主機B本地管理員賬戶

主機B 192.168.18.156 安裝了Kb2871997補丁

用戶test\User為主機B本地管理員的普通域用戶

用戶test\User訪問，可

由安裝KB2871997前后的對比發(fā)現(xiàn)kb2871997對于本地Administrator(rid為500，操作系統(tǒng)只認rid不認用戶名)和本地管理員組的域用戶是沒有影響的。但是kb2871997補丁會刪除除了wdigest ssp以外其他ssp的明文憑據(jù)

remote UAC 遠程限制

01 工作組環(huán)境下

主機A win10

主機B win10 192.168.18.132

用戶user為Rid非500的主機B本地管理員賬戶

ipc 拒絕訪問

Schtasks 拒絕訪問

WMIC,PSEXEC,WINRM,等也是拒絕訪問

原因：

由于remote UAC默認開啟的，計算機的任何非 500本地管理員帳戶， 用戶在遠程計算機上沒有特權(quán)提升能力，并且用戶無法執(zhí)行管理任務(wù)。使用非500用戶來遠程訪問皆為：拒絕訪問

解決：

在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem中添加一個鍵值LocalAccountTokenFilterPolicy。LocalAccountTokenFilterPolicy默認不存在，即為0（開啟遠程限制），添加并設(shè)置為1時將關(guān)閉遠程限制

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

再次訪問,可

schtasks ，可

若要限制500用戶administrator的遠程登錄，那就是直接把FilterAdministratorToken設(shè)置為1，路徑為：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken /t REG_DWORD /d 1 /f

再用Administrator連接就拒絕訪問了

在域環(huán)境中，本地管理員用戶的域賬戶不受LocalAccountTokenFilterPolicy限制

主機A winsrv2012
主機B win10 192.168.18.149
用戶test\admin為非rid500的主機B 本地管理員的普通域用戶
用戶test\uuser 為普通域用戶

test\admin訪問，可

但非本地管理員的普通域用戶還是會受LocalAccountTokenFilterPolicy限制

普通域用戶test\uuser訪問，拒絕訪問

域管理員用戶則不受限制

由此可見remote UAC才是限制遠程訪問的主要原因