Ondrej Sevecek's Blog

To jsi fakt neznal? :)

Tak to by si aj mna prekvapil, keby si tieto nepoznal...

no nástroje jsem znal samozřejmě, jen ne ten rychlý link na stažení :-)

Na stahování a následné lokální vyhledávání vhodných SysInternals utilit je nejlepší "WSCC - Windows System Control Center". Udržuje si to aktualizované verze SysInternals a Nirsoftu.

Ahojte,

chcem sa spytat ci niekto nema skusnosti s toolom PSexec a to konkretne sa jedna o vyuzitie PSexec batch suboru cez SQL Job.
Zaujimalo by ma kedze PSexec spusta nejaky network resource potrebuje zadat uzivatela a heslo. Ale ako vieme heslo je lahko citaletne ci uz priamo zo suboru alebo  odchytenim na sieti kedze ide v plaintexte. Je mozne to spravit nejako  secure ?

no příkazová řádka PSExec podle mě umí přijmout pouze heslo v čisté formě. nevím o tom, že by to uměla nějak chráněně. ono to není podle mě míněno k tomu, aby se to spouštělo na nebezpečných počítačích.

pokud ale spouštím nějaký proces na vzdáleném stroji, tak na ten vzdálený stroj jde to heslo zašifrovaně. Takže po síti se to odchytnout nedá a to ani na tom vzdáleném stroji.

Prostě heslo je vidět jen tam, kde je vidět příkazová řádka toho PSEXEC programu.

Hmmm, to je zaujimave pretoze som to testoval a to heslo som si v plaintexte pekne odchytil pod hlavickou "TCP segment of a reassemble PDU". Aj by som pripojil screenshot ale neda sa. :-)
Snazil som sa to okaslat tak ze som si primapoval cez net use IPC$ s uzivatelom a heslom pod ktorym psexec by mal  pristupovat k network resources. Ale bohuzial mi ten SQL Job tak nezbehne, takze sa to tak neda obist.

tak jsem to teď zkoušel a je to fakt. je tam normálně to heslo v unicode. ono to fakt posílá to heslo normálně v clear-textu. to je debil ten rusinovič. to musím tu napsat na to článek.

já jsem to zkoušel kdysi dávno a heslo jsem v tom výstupu nenašel, takže jsem to bral tak, že to prostě přenáší zašifrovaně. ale to sem asi hledal jenom ASCII heslo a on to tam má v Unicode.

protože já bych takovej debil nebyl a prostě bych si to ověřil Kerberosem, nebo NTLM, a udělal bych si na to session security (sealing). Oboje tu komunikaci umí normálně zašifrovat.

panebožeééééééé

oficiální hláška přímo ze SysInternals: "Note that the password is transmitted in clear text to the remote system."

Ano, ano je to v pripomienke ze je to posielane v clear texte, ale to nic nemeni na veci ze to potrebujem spravit nejako secure. :-(
Akoze tiez sa cudujem preco to nespravili ako "net use" ktory je nativne v NTLM alebo Kerberos.

jooo, tak to je pak špatné. to nevím. vy potřebujete konkrétně přesně toto - mám ServerA kde je SQL server. A potřebujete na počítači ServerB pustit nějaký proces pod zvláštním účtem, rozumím tomu dobře?

mohl byste si tam dát IPSec a šifrovat tu linku mezi těma dvěma servery.

ale spíš bych se zabýval, proč tam potřebujete takto něco spouštět? nešlo by to naplánovat jako úlohu přímo na tom ServerB a jenom stahovat výsledná data z nějakého sdíleného adresáře tím ServerA džobem?

Pre objasnenie je to o nieco komplikovanejsie.
Je to SQL job ktory spusti  nejaku procedure spolu  s batch file. Cize ServerA ako SQL na ServerB kde sa spusti  nejaka sluzba pod uctom  ktory je zadany  v PSexec a ta sluzba sa konektuje  na ServerC kde sa spracuju  nejake udaje na share adresary. Toto je taky jednoduchy model. No ono to funguje len ked je tam zadane meno a heslo. Co je s rozporom bezpecnosti firmy takze to nemozem pouzit. A tak som pekne nasraty a v powershell  neviem ako by som to vedel vyriesit a ci by sa to dalo vobec .

aha, takže co třeba toto:

na ServerB běží trvale naplánovaná úloha (která se spouští po startu) a běží pořád. Běží pod příslušným uživatelem. Jeho heslo je tedy zadáno jen na ServerB.

Tahle úloha je napsána v PowerShell. Čeká jen na signál od ServerA, že má provést to, co vy potřebujete. Jak udělat signál? Co třeba, že ServerA zapíše nějaký soubor do nějakého sdíleného adresáře na ServerB. Naplánovaná úloha si ho všimne a provede to, co se od ní očekává.

:-)  To znie fantasticky, len sa este naucit programovat.  hehe
Chcel som to vyriesit cisto  po Administratorskej  stranke. :-(
Ale dik za snahu. :-)