使用 powershell 访问远程计算机时出现审计错误

Posted 2023-02-16

【中文标题】使用 powershell 访问远程计算机时出现审计错误

【英文标题】：Audit-Error when accessing remote computer with powershell

【发布时间】：2019-10-15 08:58:57

【问题描述】：

我编写了一个 powershell 脚本来测试远程计算机上的 prozess 是否正在运行，然后根据远程计算机上的 prozess 状态在我的本地计算机上执行操作。

脚本运行良好，我得到了我想要的结果。但是当检查远程计算机上的安全事件日志时，我得到一个审核失败条目。在此条目中，远程计算机似乎尝试使用我本地计算机上的帐户登录

$Prozess = "<Prozessname>'"                           
$Server = "<RemoteServer>"                         
$Password = "<Password>"                            
$Username = "<UserOnRemoteServer>"                       

$SecureString = ConvertTo-SecureString -AsPlainText $Password -Force
$MySecureCreds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $Username,$SecureString
$ProzessListe = gwmi win32_Process -ComputerName $Server -Authentication 3 -Credential $MySecureCreds -Impersonation Impersonate -Filter "name = $Prozess"

ErrorMessage

编辑： 将 $Prozessliste 的 Line 更改为

$ProzessListe = Invoke-Command -ComputerName $Server -Credential $MySecureCreds  -Authentication Negotiate -ScriptBlockgwmi win32_Process -Filter "name = $($args[0])" -ArgumentList $Prozess

审计错误消失了。

【问题讨论】：

你能分享一张活动的照片或留言吗？

抱歉回复晚了。我添加了错误消息的屏幕截图。

【参考方案1】：

如果您使用 NTLM 进行身份验证，它将在尝试使用凭据之前尝试匿名身份验证。最初的匿名尝试失败可能就是您所看到的。

【讨论】：

如何更改身份验证以防止出现此错误？

如果是 NTLM，那么您不需要。这只是身份验证的工作方式。这是良性的。