Powershell реестр удаленного

Главная / Powershell реестр удаленного

Powershell реестр удаленного

Есть необходимость узнать информацию со всех компьютеров в локальной сети, которая находится в реестре.

Скрипт только для текущих загруженных профилей в реестре.

Для всех можно, но с этим сами разбирайтесь. Лишь совет в какую сторону двигаться.

1) Т.к. Администратор не имеет по умолчанию доступа к реестру, то потребуется изменить права доступа к профилю пользователя. Для этого лучше использовать утилиту icacls,setacl. Или зайти под System.

3) С reg.exe возникает проблема, т.к. нет возможности загрузить куст удаленно. Для этого,либо копирование ntuser.dat на локальный компьютер и с последующей загрузкой, или скажем, загрузить удаленно с помощью psexec \\remote -i -a cmd.

Все ответы

Что конкретно требуется?

Конкретно, вытащить информацию из ветки реестра.

HKCU\SOFTWARE\Microsoft\Office\Common\Userinfo | select-Object username | Out-File -Append $Info

В английском не силен и в деле новичок, поэтому трудно дается понимания языка.

Если требуется узнать пользователя, кто сейчас залогинен, то можно обойтись без реестра:

Если через реестр, то опять же, непонятно к какому HCKU из пользователей требуется получить доступ.

У меня есть список Ip-адресов компьютеров в сети, и мне нужно подключиться к каждому компьютеру и вытащить из реестра информацию об office, который установлен у пользователя, нужно имя пользователя и инициалы, и всю полученную информацию записать в БД (ip-адрес, имя компьютера, имя пользователя, имя пользователя (office), инициалы (office).

Как это сделать, примерно понимаю, но не знаю как написать такой скрипт.

Надеюсь понятно описал. (

О! А это очень интересно!

А можно ли получить данные со всех профилей? и отобразить это, что на таком-то компьютере есть столько-то учетных записей.

2) Для загрузки куста реестра из профиля(файл ntuser.dat), можно использовать утилиту reg.exe и параметры load,unload.

reg.exe load HKU\TempHive «C:\Users\TestUser\ NTUSER.DAT «

REG UNLOAD HKU\TempHive

  • Помечено в качестве ответа Pelev1n 4 июля 2014 г. 11:30
  • что-то видимо делаю не так.

    странно, но ничего не происходит.

    а куда должна информация вся сохраняться? .

    В переменную $result. Чтобы в файл:

    $result | Out-File — Append $Info

    Для теста, можно $CompIps = $env:ComputerName и в консоли PowerShell выполнить код выше.

    Ps . Версия ОС — Vista и выше.

    Вот что получилось.

    может где-то еще что-то нужно дописать.

    P.S. человек просто я далекий еще. поэтому расспрашиваю, что да как делать.

    Спасибо за понимание!

    Когда выполнил скрипт как у Вас на картинке, то все получилось.

    А когда полностью хочу выполнить скрипт, получается так:

    Get-WmiObject : Invalid parameter
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:8 знак:14
    + $profiles = Get-WmiObject Win32_UserProfile -filter «Loaded=$true and special=$ .
    +

    + CategoryInfo : InvalidOperation: (:) [Get-WmiObject], ManagementException
    + FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

    Не удается преобразовать значение «\\C:\IPs\ip.txt\root\default:stdregprov» в тип «System.Management.ManagementClass». Ошибка: «Invalid parameter »
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:10 знак:2
    + $reg = [wmiclass]»\\$CompIp\root\default:stdregprov»
    +

    Список компьютеров в скрипте отсутствует. Есть строка вида $CompIps = «C:\IPs\ip.txt», а требуется читать из файла.

    $CompIps = Get-Content «C:\IPs\ip.txt»

    Get-WmiObject : Сервер RPC недоступен. (Exception from HRESULT: 0x800706BA)
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:9 знак:14
    + $profiles = Get-WmiObject Win32_UserProfile -filter «Loaded=$true and special=$ .
    +

    + CategoryInfo : InvalidOperation: (:) [Get-WmiObject], COMException
    + FullyQualifiedErrorId : GetWMICOMException,Microsoft.PowerShell.Commands.GetWmiObjectCommand

    Не удается преобразовать значение «\\192.168.12.1\root\default:stdregprov» в тип «System.Management.ManagementClass». Ошибка: «Сервер RPC недоступен. (Exception from HRESULT
    : 0x800706BA)»
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:11 знак:2
    + $reg = [wmiclass]»\\$CompIp\root\default:stdregprov»
    +

    + CategoryInfo : InvalidArgument: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvalidCastToWMIClass

    все равно во что-то упирается ((

    может где-то еще неверно все написано? или дописать что-то нужно.

    Get-WmiObject : Не удается проверить аргумент для параметра «ComputerName». Аргумент пустой или имеет значение NULL. Укажите не пустой аргумент, не имеющий значение NULL, по
    сле чего повторите выполнение команды.
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:11 знак:102
    + . -ComputerName $CompIp
    +

    + CategoryInfo : InvalidData: (:) [Get-WmiObject], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.PowerShell.Commands.GetWmiObjectCommand

    Не удается преобразовать значение «\\\root\default:stdregprov» в тип «System.Management.ManagementClass». Ошибка: «Invalid parameter »
    C:\Data\Work\PowerShell\скрипты\Office_User_Initials.ps1:13 знак:2
    + $reg = [wmiclass]»\\$CompIp\root\default:stdregprov»
    +

    + CategoryInfo : InvalidArgument: (:) [], RuntimeException
    + FullyQualifiedErrorId : InvalidCastToWMIClass

    social.technet.microsoft.com

    Как получить список установленных программ Windows

    В этой простой инструкции — два способа получить текстовый список всех программ, установленных в Windows 10, 8 или Windows 7 встроенными средствами системы или с помощью стороннего бесплатного ПО.

    Для чего это может потребоваться? Например, список установленных программ может пригодиться при переустановке Windows или при приобретении нового компьютера или ноутбука и его настройке «под себя». Возможны и другие сценарии — например, для выявления нежелательного ПО в списке.

    Получаем список установленных программ с помощью Windows PowerShell

    В первом способе будет использоваться стандартный компонент системы — Windows PowerShell. Для его запуска вы можете нажать клавиши Win+R на клавиатуре и ввести powershell или же использовать поиск Windows 10 или 8 для запуска.

    Для того, чтобы отобразить полный список установленных на компьютере программ достаточно ввести команду:

    Результат будет выдан прямо в окне PowerShell в виде таблицы.

    Для того, чтобы автоматически экспортировать список программ в текстовый файл, команду можно использовать в следующем виде:

    После выполнения указанной команды список программ будет сохранен в файл programs-list.txt на диске D. Примечание: при указании корня диска C для сохранения файла вы можете получить ошибку «Отказано в доступе», если вам нужно сохранить список именно на системный диск, создайте на нем какую-либо свою папку на нем (и сохраняйте в него), либо запускайте PowerShell от имени администратора.

    Еще одно дополнение — вышеописанный способ сохраняет список только программ для рабочего стола Windows, но не приложений из магазина Windows 10. Для получения их списка используйте следующую команду:

    Подробнее о списке таких приложений и операциях над ними в материале: Как удалить встроенные приложения Windows 10.

    Получение списка установленных программ с помощью стороннего ПО

    Многие бесплатные программы деинсталляторы и другие утилиты также позволяют экспортировать список установленных на компьютере программ в виде текстового файла (txt или csv). Один из самых популярных таких инструментов — CCleaner.

    Для получения списка программ Windows в CCleaner выполните следующие действия:

    1. Зайдите в раздел «Сервис» — «Удаление программ».
    2. Нажмите «Сохранить отчет» и укажите место сохранения текстового файла со списком программ.

    При этом, CCleaner сохраняет в списке как программы для рабочего стола, так и приложения магазина Windows (но только те, которые доступны для удаления и не интегрированы в ОС, в отличие от способа получения этого списка в Windows PowerShell).

    Вот, пожалуй, и всё на эту тему, надеюсь, для кого-то из читателей информация окажется полезной и найдет свое применение.

    remontka.pro

    Бесфайловый зловред исполняет PowerShell через DNS-запросы

    Нестандартный RAT-троянец, получивший наименование DNSMessenger, использует DNS-запросы для исполнения команд PowerShell на зараженном компьютере. По свидетельству Cisco, это сильно затрудняет его обнаружение в системе.

    Как показал анализ, проведенный экспертами подразделения Talos компании, процесс заражения начинается с активации макроса по подсказке в документе Word, присланном по почте вложением. Если получатель последует этой инструкции, последует вызов VBA-функции, обеспечивающей исполнение первичной PowerShell-команды.

    Показать связанные сообщения

    Троян Rakhni обрел право выбора

    Ждем новую прошивку для Allen-Bradley Stratix 5950

    Эксперты выявили первую атаку с использованием PROPagate

    “Документ использует функцию Document_Open() для вызова другой VBA-функции, — рассказывают исследователи. — Вызванная функция задает длинную строку, которая определяет команду PowerShell и включает код, подлежащий исполнению. Затем происходит выполнение команды с помощью объекта Win32_Process интерфейса управления Windows (WMI), использующего метод Create”.

    После этого следует многоэтапная атака, в ходе которой определяются привилегии текущего пользователя, версия PowerShell, привносятся изменения в системный реестр Windows и открывается бэкдор для сохранения присутствия в системе.

    Типовая цепочка заражения предполагает запись файлов в целевую систему; в данном случае вместо этого используется обращение к записям TXT удаленной DNS-системы, в которых содержатся вредоносные PowerShell-команды. Запросы DNS TXT и ответные сообщения создают канал двусторонней C&C-связи. Такая тактика “позволяет исполнять код, не требуя его записи в файловую систему” на атакуемой машине.

    В ходе тестирования сэмпла был выявлен ряд VBA-скриптов, используемых злоумышленниками; каждый VBA распаковывал свой скрипт PowerShell. На всех этапах заражения происходила отправка DNS-запросов в один из многочисленных доменов, прописанных в коде скрипта.

    “Это очень необычный и скрытный способ администрирования RAT, — отмечено в блог-записи Talos. — Исполнение PowerShell во много этапов, не оставляющих никаких файлов, указывает на то, что автор атаки приложил значительные усилия, чтобы избежать обнаружения”.

    “Он [DNSMessenger] также показал, насколько важно не только контролировать и фильтровать сетевые протоколы вроде HTTP/HTTPS, SMTP/POP3 и проч., но и рассматривать DNS-трафик в корпоративной сети как канал, который злоумышленник может использовать для реализации полноценной, работающей в обе стороны C&C-инфраструктуры”, — заключают исследователи.

    “Это была, по всей видимости, целевая атака, с небольшим охватом в сравнении с другими кампаниями, которые мы регулярно наблюдаем, — заявил соавтор записи в блоге Talos Эдмунд Брумагин (Edmund Brumaghin), отметив, что намерения зловреда пока не ясны. — Нам не удалось зафиксировать отправку с C&C команд, подлежащих исполнению. Это типично для целевых атак, так как злоумышленники обычно посылают команды лишь намеченным жертвам”.

    Авторы блог-записи выражают благодарность ИБ-исследователю @simpo13 за твит, привлекший общее внимание к данному RAT-троянцу. Примечательно, что в коде одного из PowerShell-скриптов, используемых злоумышленниками, автор твита обнаружил зашифрованную по base64 строку SourceFireSux — явную ссылку на ИБ-вендора SourceFire, поглощенного Cisco в 2013 году.

    threatpost.ru

    оценка преподавателя:

    Этот курс предоставляет слушателям фундаментальные знания и навыки для использования Windows PowerShell для администрирования и автоматизации задач администрирования серверов Windows. Этот курс предоставляет навыки определения и создания команды, требуемой для выполнения конкретной задачи.

    Кроме того, слушатели учатся создавать сценарии для выполнения расширенных задач, таких как автоматизация повторяющихся задач и создание отчетов.

    Этот курс обеспечивает необходимые навыки, поддерживающие широкий спектр продуктов Microsoft, включая Windows Server, Windows Client, Microsoft Exchange Server, Microsoft SharePoint Server, Microsoft SQL Server, System Center и другие. В соответствии с этой целью курс не фокусируется ни на одном из этих продуктов, однако примеры для методов автоматизации построены для Windows Server, который является общей платформой для перечисленных продуктов Microsoft.

  • ул. Доброслободская, д.5
  • Бауманская
  • Комсомольская
  • Красные ворота
  • Ближайшая дата проведения: 01.10.2018

    Продолжительность курса: 5 дней

    Место проведения курса:


      Ближайшая дата проведения: 09.07.2018

      Продолжительность курса: 5 дней / 40 ак.ч.

      РАСПИСАНИЕ ЗАНЯТИЙ
      После изучения курса вы сможете
      • Описывать функциональность Windows PowerShell и использовать ее для запуска и поиска основных команд.
      • Определить и запустить командлеты для администрирования сервера.
      • Работать с конвейером Windows PowerShell.
      • Описывать методы использования конвейера Windows PowerShell.
      • Использовать PSProviders и PSDrives для работы с другими формами хранения.
      • Запросить информацию о системе с помощью WMI и CIM.
      • Работать с переменными, массивами и хэш-таблицами.
      • Написать основные сценарии в Windows PowerShell.
      • Написать расширенные скрипты в Windows PowerShell.
      • Администрировать удаленные компьютеры.
      • Использовать фоновые задания и запланированные задания.
      • Использовать дополнительные методы PowerShell.
      • Содержание курса

        Курс предназначен для ИТ-специалистов, которые уже знакомы с администрированием Windows Server и Windows Client, и которые хотят узнать больше об использовании Windows PowerShell для администрирования. Предполагается, что предварительный опыт использования любой версии Windows PowerShell или любого языка сценариев не предполагается.

        Этот курс также подходит для ИТ-специалистов, уже имеющих опыт администрирования сервера, включая Exchange Server, SharePoint Server, SQL Server, System Center и другие.

        academy.ru

        Смотрите так же:

        • Объявления купля продажа оружия 1. Аукционный формат объявлений запрещён.Необходимо указывать: а) характер сделки(продаю/покупаю);б) наименование товара;в) количество товара;г) город продажи;д) стоимость (рубли);е) год выпуска, срок использования и приблизительный настрел;ж) состояние;з) комплектацию;и) ЛЕГАЛЬНЫЙ […]
        • Правила и нормы электромонтажа СНиП - строительные нормы и правила, ПУЭ - правила устройства электроустановок, ГОСТ, Правила технической эксплуатации электроустановок потребителей. Правила технической эксплуатации электроустановок потребителей. (утв. приказом Минэнерго РФ от 13 января 2003 г. N 6) Размер файла: 292.75 […]
        • Штраф за интернет просмотры Порноловушки в Сети: как мошенники наживаются на любителях "клубнички" Залез на порносайт - жди наряда полиции. Пользователей Интернета пугают арестами и штрафами в несколько тысяч рублей за просмотр нелицензионных порталов и блокируют работу компьютеров. Делается это от имени […]
        • Планшеты с разрешением 1920х1080 ТОП 10 планшетов с экраном Full HD Full HD экран – это вовсе необязательный атрибут для планшета, но желательный. Такой дисплей отличается прекрасной детализацией картинки, и смотреть фильмы, фотографии или играть в игры на нем – одно удовольствие. В этом обзоре мы представим лучшие […]
        • Правила оформления практики Образец отчета по учебной и производственной практике Как оформить отчет по практике. Оформляем образец отчёта по практике на предприятии для студента в 2017 году. Обязательные данные в отчете по практике Кем вы работали в данной организации, на какой должности проходили практику. Место […]
        • Разрешение файлов презентаций ProPowerPoint.Ru. Уроки. Бесплатные шаблоны и темы PowerPoint Форматы файлов PowerPoint. PPT, PPTX, PPS, PPSX, POT, POTX и др. Основные форматы (расширения) файлов PowerPoint 2007-2010, которые необходимо знать. PPTX - презентация , созданная в PowerPoint 2007 , PowerPoint 2010 +. Файлы […]
        • Что за разрешение xlsx Чем открыть xlsx Название формата Электронная книга Microsoft Excel 2007-2013 Open XML Оригинальное название Microsoft Excel 2007-2013 Open XML Workbook File Разработчик: Майкрософт Описание расширения Файл .XLSX представляет собой электронную книгу, созданную в Microsoft Office Excel […]
        • Удаление iptables правила 21 пример использования iptables для администраторов. Файрвол в системе linux контролируется программой iptables (для ipv4) и ip6tables (для ipv6). В данной шпаргалке рассмотрены самые распространённые способы использования iptables для тех, кто хочет защитить свою систему от взломщиков […]