组策略限制3389登录的绕过方式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 |
|---|
症状:
要登录到这台远程计算机,您必须被授予允许通过终端服务登录的权限。默认地,“远程桌面用户”组的成员拥有该权限,如果您不是“远程桌面用户”组或其他拥有该权限的组的成员,或者如果“远程桌面用户”组没有该权限,您必须被手动授予该权限。
2003组策略拒绝远程登录错误
2008组策略拒绝远程登录错误
2012组策略拒绝远程登录错误
原因:
因为目标机器设置了组策略用户权限分配中的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项,所以在进行远程终端连接时就会出现上图报错提示。
组策略“拒绝通过远程桌面服务登录”
解决方案:
(1) 将目标机器sethc.exe、Utilman.exe等程序替换为cmd.exe或taskmgr.exe,然后在gpedit.msc组策略中修改用户权限分配的“拒绝通过远程桌面服务登录”或“拒绝本地登录”选项。
(2) 通过命令行导出/修改/导入/更新本地组策略。
secedit /export /cfg c:\gp.inf /quiet //导出组策略
secedit /configure /db c:\gp.sdb /cfg c:\gp.inf /quiet //导入组策略
gpupdate /force //更新组策略拒绝本地登陆:
说明:此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和“允许本地登录”策略设置,则前者会取代后者。
SeDenyInteractiveLogonRight = Guest拒绝通过远程桌面服务登录:
说明:此安全设置确定禁止哪些用户和组作为远程桌面服务客户端登录。
SeDenyRemoteInteractiveLogonRight = Administrator允许本地登陆:
说明:确定哪些用户可以登录到该计算机。
SeInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551
*S-1-5-32-544:Administrators
*S-1-5-32-545:Users
*S-1-5-32-551:Backup Operators允许通过远程桌面服务登录:
说明:此安全设置确定哪些用户或组具有作为远程桌面服务客户端登录的权限。
SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555
*S-1-5-32-544:Administrators
*S-1-5-32-555:Remote Desktop Users
Windows组策略导出的配置文件:
[System Access]
MinimumPasswordAge = 0 //密码最短留存期
MaximumPasswordAge = 42 //密码最长留存期
MinimumPasswordLength = 0 //密码长度最小值
PasswordComplexity = 0 //密码必须符合复杂性要求
PasswordHistorySize = 0 //强制密码历史N个记住的密码
LockoutBadCount = 5 //账户锁定阈值
ResetLockoutCount = 30 //账户锁定时间
LockoutDuration = 30 //复位账户锁定计数器
RequireLogonToChangePassword = 0 //下次登录必须更改密码
ForceLogoffWhenHourExpire = 0 //强制过期
NewAdministratorName = "Administrator" //管理员账户名称
NewGuestName = "Guest" //来宾账户名称
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableAdminAccount = 1 //Administrator是否禁用
EnableGuestAccount = 0 //Guest是否禁用
[...SNIP...]
[Privilege Rights]
SeDenyInteractiveLogonRight = Guest
SeDenyRemoteInteractiveLogonRight = *S-1-5-32-544
SeInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551
SeRemoteInteractiveLogonRight = *S-1-5-32-544,*S-1-5-32-555
SeDenyNetworkLogonRight = Guest
SeAssignPrimaryTokenPrivilege = *S-1-5-19,*S-1-5-20,Classic .NET AppPool,DefaultAppPool,
PhpMyAdmin_HWS,testing
[...SNIP...]Windows组策略(用户权限分配)常量名:
组策略设置 | 常量名 |
|---|---|
作为受信任的调用方访问凭据管理器 | SeTrustedCredManAccessPrivilege |
从网络访问此计算机 | SeNetworkLogonRight |
作为操作系统的一部分运行 | SeTcbPrivilege |
将工作站添加到域 | SeMachineAccountPrivilege |
调整进程的内存配额 | SeIncreaseQuotaPrivilege |
允许本地登录 | SeInteractiveLogonRight |
允许通过远程桌面服务登录 | SeRemoteInteractiveLogonRight |
备份文件和目录 | SeBackupPrivilege |
绕过遍历检查 | SeChangeNotifyPrivilege |
更改系统时间 | SeSystemtimePrivilege |
更改时区 | SeTimeZonePrivilege |
创建页面文件 | SeCreatePagefilePrivilege |
创建令牌对象 | SeCreateTokenPrivilege |
创建全局对象 | SeCreateGlobalPrivilege |
创建永久共享对象 | SeCreatePermanentPrivilege |
创建符号链接 | SeCreateSymbolicLinkPrivilege |
调试程序 | SeDebugPrivilege |
拒绝从网络访问这台计算机 | SeDenyNetworkLogonRight |
拒绝作为批处理作业登录 | SeDenyBatchLogonRight |
拒绝以服务身份登录 | SeDenyServiceLogonRight |
拒绝本地登录 | SeDenyInteractiveLogonRight |
拒绝通过远程桌面服务登录 | SeDenyRemoteInteractiveLogonRight |
允许信任计算机和用户帐户以进行委派 | SeEnableDelegationPrivilege |
在远程系统中强制关机 | SeRemoteShutdownPrivilege |
生成安全审核 | SeAuditPrivilege |
身份验证后模拟客户端 | SeImpersonatePrivilege |
增加进程工作集 | SeIncreaseWorkingSetPrivilege |
提升调度优先级 | SeIncreaseBasePriorityPrivilege |
加载和卸载设备驱动程序 | SeLoadDriverPrivilege |
在内存中锁定页面 | SeLockMemoryPrivilege |
作为批处理作业登录 | SeBatchLogonRight |
以服务身份登录 | SeServiceLogonRight |
管理审核和安全日志 | SeSecurityPrivilege |
修改对象标签 | SeRelabelPrivilege |
修改固件环境值 | SeSystemEnvironmentPrivilege |
执行批量维护任务 | SeManageVolumePrivilege |
配置文件单一进程 | SeProfileSingleProcessPrivilege |
配置文件系统性能 | SeSystemProfilePrivilege |
从扩展坞中删除计算机 | SeUndockPrivilege |
替换进程级令牌 | SeAssignPrimaryTokenPrivilege |
还原文件和目录 | SeRestorePrivilege |
关闭系统 | SeShutdownPrivilege |
同步目录服务数据 | SeSyncAgentPrivilege |
取得文件或其他对象的所有权 | SeTakeOwnershipPrivilege |
官方说明文档:
https://docs.microsoft.com/zh-cn/previous-versions/mt629101(v=vs.85)