1. PSTools入门Windows远程管理的瑞士军刀第一次接触PSTools是在2013年管理200多台Windows服务器时当时被它一发命令掌控全网的能力震撼。这套由微软Sysinternals团队开发的工具包至今仍是Windows系统管理的终极利器。最新版本已集成在微软官方下载中心完全免费且持续更新。PSTools的核心价值在于用命令行实现图形界面难以完成的批量操作。比如凌晨3点需要紧急重启50台服务器的某个服务用远程桌面逐个登录显然不现实。这时PsService配合批处理脚本30秒就能解决问题。我管理的金融系统曾用PsExec批量部署安全补丁比SCCM还快20分钟完成。注意所有操作都需要管理员权限建议在域环境使用域账号执行安装只需三步从微软官网下载ZIP包解压到C:\PSTools目录将目录添加到系统PATH变量验证安装成功的技巧psexec /accepteula这个命令会自动接受许可协议避免后续操作弹出确认框。很多新手卡在这第一步就是因为漏了协议确认。2. 核心工具实战指南2.1 PsExec远程命令执行利器去年帮某医院排查勒索病毒时PsExec的-c参数立了大功。病毒样本在10台服务器上变异出不同版本我们用这个命令一次性收集所有样本psexec servers.txt -u domain\admin -c malware_dump.bat其中servers.txt是IP列表文件malware_dump.bat是检测脚本。关键点-c参数会自动删除远程临时文件-d让命令立即返回不阻塞配合-i参数可交互式操作远程注册表常见坑点防火墙需放行445和135端口本地账户需开启网络共享权限跨网段建议使用域账号认证2.2 PsService服务管理大师证券公司的交易系统凌晨升级时我们用这套命令序列实现零停机重启psservice \\trade01 config MSSQLSERVER service_config.log psservice \\trade01 stop MSSQLSERVER psservice \\trade01 start MSSQLSERVER psservice \\trade01 query MSSQLSERVER特别有用的depend参数能显示服务依赖关系避免误停关键服务。曾有个DBA停掉Cluster服务导致整个SQL AlwaysOn集群崩溃用这个命令能提前发现风险。2.3 PsInfo系统信息收集专家做等保测评时这个命令帮我一次性收集所有服务器的补丁状态psinfo -h -s -d \\192.168.1.1 server_info.csv输出包含操作系统版本和架构已安装的KB补丁列表磁盘分区和剩余空间最近安装的软件清单建议配合PsExec批量执行用Excel处理结果数据。上周就用这个方法发现30台服务器漏装Spectre漏洞补丁。3. 高阶组合技3.1 自动化巡检脚本给某政务云设计的每日巡检脚本片段$servers Get-Content .\server_list.txt foreach ($s in $servers) { psinfo \\$s | Out-File .\logs\$s-$((Get-Date).ToString(yyyyMMdd)).log psservice \\$s query | Out-File -Append .\logs\$s-$((Get-Date).ToString(yyyyMMdd)).log pslist -d \\$s | Select-String -Pattern sqlservr|java | Out-File -Append .\logs\$s-$((Get-Date).ToString(yyyyMMdd)).log }关键技巧用PowerShell调用PSTools更灵活Select-String过滤关键进程按日期生成日志文件3.2 应急响应工具包处理安全事件时的黄金命令组合pslist \\受害主机 process.txt psloggedon \\受害主机 sessions.txt psfile \\受害主机 shares.txt psloglist -c \\受害主机 events.evtx这些命令能在不登录目标主机的情况下快速获取异常进程列表可疑登录会话异常文件共享安全事件日志去年某次挖矿病毒处置中靠pslist发现伪装成svchost的恶意进程用pskill立即终止比杀毒软件还快。4. 避坑指南4.1 权限问题终极解决方案最常遇到的错误是Access Denied我总结的排查清单组策略设置secpol.msc - 本地策略 - 安全选项 - 网络访问:本地账户的共享和安全模型设为经典共享权限检查net share admin$ /grant:everyone,full icacls C:\Windows\ /grant everyone:(F)防火墙例外netsh advfirewall firewall add rule namePSTools dirin actionallow protocolTCP localport135,4454.2 网络问题诊断技巧当命令执行超时时按这个顺序排查先用PsPing测试基础连通性psping -n 5 -w 1 目标IP:445检查端口过滤telnet 目标IP 445验证DNS解析nslookup 目标主机名4.3 安全加固建议使用受限服务账户替代管理员账号配合IPSec加密网络通信定期审计PSTools使用日志敏感操作启用二次认证某次攻防演练中攻击者正是利用PsExec横向移动。后来我们部署了LAPS本地管理员密码解决方案有效遏制了这类攻击。
