【实战指南】PSTools：从零到精通的Windows远程管理工具箱

1. PSTools入门：Windows远程管理的瑞士军刀

第一次接触PSTools是在2013年管理200多台Windows服务器时，当时被它"一发命令掌控全网"的能力震撼。这套由微软Sysinternals团队开发的工具包，至今仍是Windows系统管理的终极利器。最新版本已集成在微软官方下载中心，完全免费且持续更新。

PSTools的核心价值在于用命令行实现图形界面难以完成的批量操作。比如凌晨3点需要紧急重启50台服务器的某个服务，用远程桌面逐个登录显然不现实。这时PsService配合批处理脚本，30秒就能解决问题。我管理的金融系统曾用PsExec批量部署安全补丁，比SCCM还快20分钟完成。

注意：所有操作都需要管理员权限，建议在域环境使用域账号执行

安装只需三步：

1. 从微软官网下载ZIP包
2. 解压到C:\PSTools目录
3. 将目录添加到系统PATH变量

验证安装成功的技巧：

psexec /accepteula

这个命令会自动接受许可协议，避免后续操作弹出确认框。很多新手卡在这第一步，就是因为漏了协议确认。

2. 核心工具实战指南

2.1 PsExec：远程命令执行利器

去年帮某医院排查勒索病毒时，PsExec的-c参数立了大功。病毒样本在10台服务器上变异出不同版本，我们用这个命令一次性收集所有样本：

psexec @servers.txt -u domain\admin -c malware_dump.bat

其中servers.txt是IP列表文件，malware_dump.bat是检测脚本。关键点：

• -c参数会自动删除远程临时文件
• -d让命令立即返回不阻塞
• 配合-i参数可交互式操作远程注册表

常见坑点：

1. 防火墙需放行445和135端口
2. 本地账户需开启网络共享权限
3. 跨网段建议使用域账号认证

2.2 PsService：服务管理大师

证券公司的交易系统凌晨升级时，我们用这套命令序列实现零停机重启：

psservice \\trade01 config MSSQLSERVER > service_config.log psservice \\trade01 stop MSSQLSERVER psservice \\trade01 start MSSQLSERVER psservice \\trade01 query MSSQLSERVER

特别有用的depend参数能显示服务依赖关系，避免误停关键服务。曾有个DBA停掉Cluster服务导致整个SQL AlwaysOn集群崩溃，用这个命令能提前发现风险。

2.3 PsInfo：系统信息收集专家

做等保测评时，这个命令帮我一次性收集所有服务器的补丁状态：

psinfo -h -s -d \\192.168.1.1 > server_info.csv

输出包含：

• 操作系统版本和架构
• 已安装的KB补丁列表
• 磁盘分区和剩余空间
• 最近安装的软件清单

建议配合PsExec批量执行，用Excel处理结果数据。上周就用这个方法发现30台服务器漏装Spectre漏洞补丁。

3. 高阶组合技

3.1 自动化巡检脚本

给某政务云设计的每日巡检脚本片段：

$servers = Get-Content .\server_list.txt foreach ($s in $servers) { psinfo \\$s | Out-File ".\logs\$s-$((Get-Date).ToString('yyyyMMdd')).log" psservice \\$s query | Out-File -Append ".\logs\$s-$((Get-Date).ToString('yyyyMMdd')).log" pslist -d \\$s | Select-String -Pattern "sqlservr|java" | Out-File -Append ".\logs\$s-$((Get-Date).ToString('yyyyMMdd')).log" }

关键技巧：

1. 用PowerShell调用PSTools更灵活
2. Select-String过滤关键进程
3. 按日期生成日志文件

3.2 应急响应工具包

处理安全事件时的黄金命令组合：

pslist \\受害主机 > process.txt psloggedon \\受害主机 > sessions.txt psfile \\受害主机 > shares.txt psloglist -c \\受害主机 > events.evtx

这些命令能在不登录目标主机的情况下，快速获取：

• 异常进程列表
• 可疑登录会话
• 异常文件共享
• 安全事件日志

去年某次挖矿病毒处置中，靠pslist发现伪装成svchost的恶意进程，用pskill立即终止，比杀毒软件还快。

4. 避坑指南

4.1 权限问题终极解决方案

最常遇到的错误是"Access Denied"，我总结的排查清单：

1. 组策略设置：

   secpol.msc -> 本地策略 -> 安全选项 -> "网络访问:本地账户的共享和安全模型"设为"经典"

2. 共享权限检查：

   net share admin$ /grant:everyone,full icacls C:\Windows\ /grant everyone:(F)

3. 防火墙例外：

   netsh advfirewall firewall add rule name="PSTools" dir=in action=allow protocol=TCP localport=135,445

4.2 网络问题诊断技巧

当命令执行超时时，按这个顺序排查：

1. 先用PsPing测试基础连通性：

   psping -n 5 -w 1 目标IP:445

2. 检查端口过滤：

   telnet 目标IP 445

3. 验证DNS解析：

   nslookup 目标主机名

4.3 安全加固建议

1. 使用受限服务账户替代管理员账号
2. 配合IPSec加密网络通信
3. 定期审计PSTools使用日志
4. 敏感操作启用二次认证

某次攻防演练中，攻击者正是利用PsExec横向移动。后来我们部署了LAPS（本地管理员密码解决方案），有效遏制了这类攻击。