Команда MSG – отправить сообщение пользователю.

Команда MSG существовала еще в Windows 2000/XP и предназначалась для обмена сообщениями между пользователями вошедшими в систему локально и пользователями терминальных сессий ( подключившихся к удаленному рабочему столу ) . В Windows Vista и более поздних операционных системах семейства Windows команда MSG стала основным стандартным средством обмена сообщениями, поскольку команда net send в данных ОС больше не поддерживается.

Формат командной строки:

Описание параметров командной строки :

пользователь — Имя пользователя.
имя сеанса — Имя сеанса.
ID сеанса — Идентификатор сеанса.
@имя файла — Файл, содержащий список имен пользователей, сеансов или идентификаторов сеансов, которым отправляется сообщение.
* — Отправить сообщение всем сеансам на указанном сервере.
/SERVER:сервер — Сервер (по умолчанию — текущий).
/TIME:секунд — Интервал ожидания подтверждения от получателя.
/V — Отображение информации о выполненных действиях.
/W — Ожидание ответа от пользователя, полезно вместе с /V.
сообщение — Отправляемое сообщение. Если не указано, выдается запрос или принимается ввод из STDIN.

Нынешняя реализация msg.exe прекрасно подходит для обмена сообщениями между сеансами локальных и терминальных пользователей в пределах одной системы, однако, в случаях обмена между разными компьютерами локальной сети, потребуется изменить некоторые настройки безопасности, принятые по умолчанию в операционных системах Windows Vista, 7 и более поздних.

При стандартных настройках, отправка сообщения пользователям удаленных компьютеров не выполняется и сопровождается сообщением:

Ошибка 1722 при получении имен сеанса

Это означает, что на компьютере, где должно приниматься посылаемое сообщение, невозможно получить информацию о вошедших в систему пользователях. Причиной может быть то, что брандмауэр блокирует входящие соединения, недостаточны права пользователя по отношению к удаленной системе, запрет удаленного вызова процедур в параметрах службы сервера терминалов. Как минимум, для обмена сообщениями с использованием команды msg между компьютерами, необходимо иметь учетную запись пользователя, действительную по отношению к удаленной системе и выполнить следующие настройки:

на каждом компьютере, которому будут отправляться сообщения, добавить в раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server параметр AllowRemoteRPC типа REG_DWORD и равный 1 Для изменения настроек можно использовать .reg-файл следующего содержания:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
«AllowRemoteRPC»=dword:00000001

В ОС Windows Vista, Windows 7, 8, 10 ключ реестра AllowRemoteRPC существует, но имеет значение равное 0 , что необходимо исправить. Для применения изменений требуется перезагрузка.

поскольку для обмена сообщениями утилита msg.exe использует протокол SMB (Server Message Block ), на каждом компьютере, которому будут отправляться сообщения, должен быть открыт TCP порт 445

Примеры использования MSG :

msg * /server:Server «Тестовое сообщение » — отправить тестовое сообщение всем пользователям компьютера Server

msg * /server:192.168.0.1 «Тестовое сообщение » — отправить тестовое сообщение всем пользователям компьютера с IP-адресом 192.168.0.1

msg RDP-Tcp#0 /server:TSServer «Тестовое сообщение» — отправить тестовое сообщение пользователю терминальной сессии с именем RDP-Tcp#0 на компьютере TSServer

msg console /server:Windows7 «Тестовое сообщение» — отправить тестовое сообщение текущему локальному пользователю компьютера Windows7

msg console «Тестовое сообщение» — отправка тестового сообщения от пользователя сеанса RDP локальному пользователю. Если эта команда выполняется не пользователем терминальной сессии, то сообщение будет отправлено локальным пользователем самому себе.

Для выполнения команды msg от имени другого пользователя можно воспользоваться утилитой PSExec из пакета PSTools или штатным средством runas.exe

psexec -u otheruser -p otherpass msg * /server:win10 TEST message

runas /user:otheruser «msg * /server:win10 Test message»

Сообщения, отправляемые командой msg локальному пользователю компьютера с операционной системой Windows XP, который отсутствует ( еще не вошел в Windows ) отображаются в окне с приглашением к регистрации в системе и могут быть доступны посторонним.

Обзор подписи блока сообщений сервера

В этой статье описывается подписание блока сообщений сервера (SMB) и определение включения подписи SMB.

Оригинальная версия продукта: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 887429

Общие сведения

Подписание SMB — это механизм безопасности в протоколе SMB, который также известен как подписи безопасности. Подписание SMB предназначено для повышения безопасности протокола SMB. Подписание SMB впервые было доступно в Microsoft Windows NT 4.0 Пакет обновления 3 (SP3) и Microsoft Windows 98.

В этой статье описаны следующие разделы SMB:

• Конфигурация подписи SMB по умолчанию.
• Настройка подписи SMB в Microsoft Windows Server 2003, Microsoft Windows XP, Microsoft Windows 2000, Windows NT 4.0 и Windows 98.
• Как определить, включена ли регистрация SMB в следе сетевого монитора.
• Пример сценариев подписания SMB.

Дополнительная информация

Конфигурация по умолчанию для службы workstation и службы Server

Подписи sMB и подписи безопасности можно настроить для службы workstation и службы Server. Служба Workstation используется для исходяющих подключений. Служба Server используется для входящих подключений.

При включенной подписи SMB для клиентов, поддерживаюных подписание SMB, можно подключиться, а также для клиентов, которые не поддерживают подписание SMB для подключения. Когда требуется подписание SMB, оба компьютера в соединении SMB должны поддерживать подписание SMB. Подключение SMB не успешно, если один компьютер не поддерживает подписание SMB. По умолчанию для исходяющих сеансов SMB в следующих операционных системах включено подписание SMB:

• Windows Server 2003
• Windows XP
• Windows 2000
• Windows NT 4.0
• Windows 98

По умолчанию регистрация SMB включена для входящих сеансов SMB в следующих операционных системах:

• Контроллеры доменов на основе Windows Server 2003
• Контроллеры доменов на основе Windows 2000 Server
• Windows NT контроллеры домена на основе сервера 4.0

По умолчанию для входящих сеансов SMB на контроллерах домена Windows Server 2003 требуется подписание SMB.

Настройка подписи по SMB

Для настройки подписи SMB рекомендуется использовать групповые политики, так как изменение значения локального реестра не работает правильно, если существует переопределяемая политика домена. При настройке связанной групповой политики меняются следующие значения реестра.

Расположения политик для подписания SMB

Следующие параметры групповой политики находятся в пути редактора объектов групповой политики «Параметры безопасности параметров безопасности параметров локальных политик \ \ \ \ Windows».

Windows Server 2003 — групповые политики контроллеров доменов по умолчанию

Workstation/Client

Сетевой клиент Microsoft: цифровой параметр политики для подписи сообщений (всегда) : не определен

Сетевой клиент Майкрософт: цифровой подписывной знак (если сервер согласен) Параметр политики: не определено эффективное настройка: включено (из-за локальной политики)

Server

Сетевой сервер Microsoft: параметры политики для подписи в цифровом формате (всегда)

Сетевой сервер Майкрософт: цифровой вход в коммуникации (если клиент согласен) Параметр политики: включен

Windows XP и 2003 — политика локальных групп компьютеров

Workstation/Client

Сетевой клиент Microsoft: цифровой параметр безопасности для подписи сообщений (всегда) : отключен

Сетевой клиент Microsoft: цифровой вход в связь (если сервер соглашается) Параметр безопасности: включен

Server

Сетевой сервер Майкрософт: цифровой параметр безопасности для подписи сообщений (всегда) : отключен

Microsoft network server: Digitally sign communications (if client agrees) Security Setting: disabled

Windows 2000 — групповые политики контроллеров доменов по умолчанию

Workstation/Client

Цифровое подписание клиентской связи (всегда) Параметр компьютера: не определено

Цифровое подписание клиентской связи (по возможности) Параметр компьютера: не определено

Server

Цифровое подписание сервера связи (всегда) Параметр компьютера: не определено

Цифровое подписание сервера связи (по возможности) Параметр компьютера: включен

Windows 2000 — политика локальных групп компьютеров

Workstation/Client

Цифровое подписание клиентской связи (всегда) Локальный параметр: отключена эффективная настройка: отключена

Цифровое подписание клиентской связи (по возможности) Локальный параметр: включена эффективная настройка: включена

Server

Цифровое подписание сервера связи (всегда) Локальный параметр: отключена эффективная настройка: отключена

Цифровое подписание сервера связи (по возможности) Локальный параметр: отключена эффективная настройка: отключена

Значения реестра, связанные с конфигурацией групповой политики для Windows Server 2003, Windows XP и Windows 2000

Клиент

В Windows Server 2003 и Windows XP групповая политика «Клиент сети Майкрософт: цифровой подписывать сообщения (если сервер соглашается)», а в Windows 2000 — карта групповой политики «Цифровой подписывной клиент (по возможности)» групповой политики для следующего подкайки реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 1 (включено).

В Windows Server 2003 и Windows XP группа «Клиент сети Майкрософт: цифровые подписывая связь (всегда)», а в Windows 2000 — карта групповой политики «Digitally sign client communication (always)» для следующей подкоги реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows Server 2003, Windows XP и Windows 2000 — 0 (не требуется).

Server

В Windows Server 2003 и Windows XP групповая политика с именем «Клиент сети Майкрософт: цифровой подписывать сообщения (если клиент соглашается)», а в Windows 2000 группа политика с именем «Цифровой подписывной серверной связи (по возможности)» на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в контроллерах доменов Windows Server 2003 и контроллерах домена Windows 2000 — 1 (включено). Значение по умолчанию в Windows NT контроллерах домена 4.0 — 0 (отключено). Политика Windows Server 2003 и Windows XP называется «Microsoft network server: digitally sign communications (always)»

Политика Windows 2000 называется «Цифровой вход в серверную связь (всегда)», и обе карты на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в контроллерах доменов Windows Server 2003 и контроллерах домена Windows 2000 — 1 (обязательно). Значение по умолчанию в Windows NT контроллерах домена 4.0 — 0 (не требуется).

Чтобы Windows NT компьютеры на основе 4.0 могли подключаться к компьютерам на базе Windows 2000 с помощью подписи SMB, необходимо создать следующее значение реестра на компьютерах на базе Windows 2000:
Имя значения: enableW9xsecuritysignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Не существует групповой политики, связанной со значением реестра EnableW9xsecuritysignature.

Настройка регистрации SMB в Windows NT 4.0

Цифровой подписывной клиент:

Это ключ RDR, а не LanmanWorkstation, как в Windows 2000

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

По умолчанию значение 1 (включено) на компьютерах с Windows NT 4.0 SP3 или более поздних версий Windows.

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию — 0 (не обязательно) на компьютерах с Windows NT 4.0 SP3 или более поздних версий Windows.

«Цифровой сервер подписи» в политиках карты на следующий ключ реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

По умолчанию значение 1 (включено) для контроллеров доменов Windows Server 2003, контроллеров домена Windows 2000 и контроллеров домена Windows NT 4.0. Значение по умолчанию для всех других компьютеров с Windows NT 4.0 SP3 или более поздних версий Windows — 0 (отключено).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию — 1 (обязательное) для контроллеров домена Windows Server 2003. Значение по умолчанию для всех других компьютеров, работающих Windows NT версии 4.0 SP3 или более поздних версий Windows, — 0 (не требуется).

Настройка подписи SMB в Windows 98

Добавьте в этот подки реестра следующие два значения реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNetsup

Имя значения: EnableSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows 98 — 1 (включить).

Имя значения: RequireSecuritySignature
Тип данных: REG_DWORD
Данные: 0 (отключение), 1 (включить)

Значение по умолчанию в Windows 98 — 0 (отключено).

Как определить, включена ли регистрация SMB в следе сетевого монитора

Чтобы определить, включена ли регистрация SMB, требуется на сервере или обе стороны, просмотр диалектного ответа на переговоры с сервера:

В этом ответе поле «Сводка режима безопасности (NT) =» представляет настроенные параметры на сервере. Это значение будет либо 3, 7 или 15.

Следующие сведения помогают объяснить, что представляют собой номера ответа на диалекте переговоров:
UCHAR SecurityMode; Режим безопасности:

bit 1: 1 = шифрование паролей

bit 2: 1 = Сигнатуры безопасности (номера последовательности SMB) включены

bit 3: 1 = Сигнатуры безопасности (номера последовательности SMB)

Если подписание SMB отключено на сервере, значение 3.

«SMB: Сводка режима безопасности (NT) = 3 (0x3)»

Если регистрация SMB включена и не требуется на сервере, значение 7.

«SMB: Сводка режима безопасности (NT) = 7 (0x7)»

Если регистрация SMB включена и требуется на сервере, значение 15.

«SMB: Сводка режима безопасности (NT) = 15 (0xF)»
Дополнительные сведения о CIFS можно получить на следующем веб-сайте Microsoft:
CIFS

Сценарии подписания SMB

Поведение сеанса SMB после переговоров на диалекте показывает конфигурацию клиента.

Если регистрация SMB включена и требуется как на клиенте, так и на сервере, или если подписание SMB отключено как на клиенте, так и на сервере, подключение успешно.

Если подписание SMB включено и требуется у клиента и отключено на сервере, подключение к сеансу TCP после переговоров на диалекте изящно закрывается, и клиент получает следующее сообщение об ошибке «1240 (ERROR_LOGIN_WKSTA_RESTRICTION)»:

Произошла ошибка системы 1240. Учетная запись не разрешена для входа с этой станции.

Если подписание SMB отключено у клиента и включено и требуется на сервере, клиент получает сообщение об ошибке «STATUS_ACCESS_DENIED», когда он получает ответ на подключение к дереву или Transact2 для рефералов DFS.