Забота о безопасности с моей Windows 7 Box на работе


41

Этот вопрос может быть странным и неправильным, но я ни в коем случае не эксперт по Windows, поэтому не стесняйтесь меня поправлять.

Группа, в которой я недавно работала, получила новые компьютеры. Они дали мне новый компьютер и подключили мой старый компьютер к сети на неделю, чтобы я мог потратить время на передачу необходимых файлов / конфигов и т. Д. Парень из службы поддержки сказал: «Просто зайди в« беги »и набери \\PCNAME\c$. и, тихо, вот мой старый диск C: я подумал про себя: «Какая огромная проблема безопасности. Я просто быстро все перенесу, а потом "разкажу". "

Конец дня наступил, и я вошел через удаленный рабочий стол и щелкнул правой кнопкой мыши на диске C. Но это не было поделено. Я позвонил парню поддержки и объяснил ему, что не хочу, чтобы мой диск C был доступен всем в сети все выходные. Он казался смущенным. Он сказал: «На самом деле это не« общий доступ ». Если вы идете в командную строку и вводите, \\ANYPCNAME\c$вы получаете их диск C. Вот так оно и есть».

Я повесил трубку телефона и подошел к столу коллеги, посмотрел на имя его компьютера (на каждом компьютере есть наклейка), а затем вернулся к своему столу и положил helloфайл на рабочий стол.

Я не храню ничего личного на своем рабочем компьютере, но есть определенные проблемы с безопасностью. Не из группы, в которой я нахожусь, а из сотен других сотрудников сети (и домена), которых я не знаю. Я в порядке с практическими шутками, но что, если кто-то имеет неизвестное недовольство мной (или кто-то с похожим именем или именем компьютера) и добавляет непристойные высказывания против моего босса к документам, которые являются частью проекта?

Является ли это наследственной частью работы доменов Windows? Могу ли я предпринять какие-либо шаги, чтобы сделать свою коробку немного более безопасной? Имейте в виду, что у меня есть права администратора для ящика, но я не могу ничего изменить в том, что касается сети или домена. Даже простое объяснение того, что происходит, очень помогло бы, поскольку это идет вразрез со всем, что, как я знаю, является «довольно базовым» в компьютерных системах в целом. Я более знаком с Linux, поэтому Windows World немного чужды для меня.

Следовать за

Высказал свои опасения по этому поводу на работе. Мне сказали: «Никто не знает, что такое диск, поэтому не о чем беспокоиться». Следовал решению Дарта и добавил этот раздел реестра. Теперь я подожду и посмотрю, если кто-нибудь получит предупреждение.


6
Это совершенно чокнутый. Должен быть простой способ отключить это.
Джеймс Т Снелл

6
Это не совсем чокнутый. Это как окна разработаны и по уважительной причине. Смотрите мой дальнейший ответ ниже.
music2myear

13
И нет, ваш вопрос совсем не странный, и вы проделали отличную работу по его описанию, учитывая вашу неосведомленность. Вы были внимательны и вдумчивы, и это то, чего я желал бы даже десятый из моих пользователей.
music2myear

4
+1, потому что ваши опасения разумны и оправданы.
Рэндольф Ричардсон

2
Ого, это действительно беспокоит. Чтобы добавить срочности к вашему запросу, обратите внимание, что это, вероятно, работает на рабочих станциях, используемых человеческими ресурсами. Это то, что я не думаю, что компания хочет, чтобы произвольные сотрудники могли читать (а тем более изменять!)
Тим Пост

Ответы:


38

То, что вы видите, является одним из тех, Administrative Sharesкоторые включены на каждом компьютере Windows для всех несъемных дисков, как \\computername\driveletter$. Однако он должен быть доступен только тому, кто входит в локальную группу «Администраторы» (похоже, что группа «Администраторы домена» или «Пользователи домена» добавлена ​​в локальную группу «Администраторы»).

Печальный факт жизни состоит в том, что вы не можете полностью отключить их, не потеряв при этом что-то еще (например, вы можете отключить общий доступ к файлам, но тогда вы не сможете делиться файлами ...). Так как они являются скрытыми (как обозначено $в конце), вы не можете просматривать их при просмотре \\computername, но они будут отображаться, если вы введете net shareв командной строке.

Отключение их не должно быть вашим первым действием, если парень службы поддержки хочет выслушать небольшую причину - попросите его ограничить разрешения, которые имеют обычные пользователи на компьютерах по сети, чтобы они не могли связываться с файлами друг друга, или посмотрите, перенесет ли он профили пользователей и документы на файловый ресурс сервера (лучшее, но гораздо более сложное решение).

Если он не может или не хочет это исправить, вы можете временно отключить их, набрав net share c$ /delete, но Windows будет воссоздавать их каждый раз при перезагрузке компьютера. Возможно, вы сможете вставить эти команды в командный файл, который запускается при запуске.

Если вы действительно хотите , чтобы защитить ваш компьютер, там также скрытые акции под названием admin$и IPC$которые могли бы как раскрыть много информации о вашем компьютере , и это файлы с кем - то в сети , которые вы можете отключить.

Как указано в других ответах, могут существовать программы, которые зависят от доступности этих общих ресурсов, и это может привлечь внимание парня из службы поддержки, если он пытается использовать один из административных ресурсов для поддержки вашей системы и не может получить к ней доступ.

Редактировать:

Кажется , вы можете отключить акции корневого раздела ( c$, d$и т.д.) со следующим ключом реестра (создать его , если он не существует):

Улей: HKEY_LOCAL_MACHINE
Ключ: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Имя: AutoShareWks
Тип данных: REG_DWORD
Значение:0

Однако это не приведет к отключению общего IPC$ресурса.


1
+1 - я собирался добавить информацию в вашу правку, но вы меня опередили. ;)
Ƭᴇcʜιᴇ007

14
Удаление административных ресурсов никогда не является хорошим начальным вариантом. Существуют причины, по которым они существуют, и из-за них должным образом защищенная среда не испытывает проблем с безопасностью. Это привилегии учетной записи, которые должны быть рассмотрены в первую очередь.
music2myear

1
@ music2myear Он сказал, что не контролирует сетевую или доменную политику, поэтому я предположил, что привилегий учетной записи не было в таблице параметров. Кроме того, если он исправит это локально (скажем, удалив администраторов домена из локальной группы администраторов), это будет иметь тот же эффект, что и отключение общих ресурсов (указанный эффект - доступ к общим ресурсам из сети с целью установки программного обеспечения или и тому подобное.
Дарт Андроид

1
Это скорее проблема политики, чем проблема дизайна. Например, это невозможно, где я нахожусь. Но если у вас нет большого опыта работы с Active Directory, я могу увидеть, как они настроили его так, чтобы каждый мог это сделать. , ,
Surfasb

1
Большинство пользователей не имеют (или не должны) контролировать политику сети или домена. Тем не менее, один или два вопроса, заданные соответствующему руководству или ИТ-персоналу, могут помочь начать соответствующий и, возможно, необходимый пересмотр политики безопасности ИТ.
music2myear

16

Ваша учетная запись пользователя, вероятно, установлена ​​в качестве администратора на всех компьютерах в сети. Для этого могут быть разные причины, большинство из которых не самые лучшие.

Каждый компьютер в домене имеет общий диск с тем, что называется и административным ресурсом. Эта доля всегда является буквой диска, за которой следует $. Как вы видели это: C $. Это всегда доступно всем пользователям, чьи учетные записи являются администраторами на этом компьютере. Для этого есть веские причины. Большинство программ исправлений используют это, как и многие программы безопасности. Кроме того, SupportGuys, как я, используют его для получения файлов на компьютеры и с компьютеров для ремонта, диагностики, устранения неполадок и помощи пользователям, и это лишь некоторые из них.

Как правило, вы не хотите удалять административный общий ресурс, если вы не уверены, что в вашей сети нет необходимых программ, которые в этом нуждаются. Например: SupportGuy может понадобиться использовать этот общий ресурс для развертывания критических обновлений на вашем компьютере.

Проблема возникает, когда все обычные учетные записи пользователей в сети являются администраторами. Это проблема, и это то, что следует решать в вашем офисе. Вы должны быть пользователями или опытными пользователями, в зависимости от необходимых разрешений. Особые случаи даны для людей, которым действительно нужны права администратора.

ОБНОВЛЕНИЕ Обращаясь к другим ответам: я настоятельно рекомендую не отключать административный общий ресурс, если вы действительно не знаете, что для этого не требуется систем. Первым делом следует выяснить, почему ваша учетная запись имеет разрешения администратора домена и действительно ли это необходимо. Это позволит решить проблемы безопасности во всей сети, а не только одну небольшую проблему с симптомами, которую вы обнаружили здесь. Если у вас нет законных оснований для того, чтобы у вас были права администратора домена, и SupportGuy не хочет удалять указанные права, если вы решите фактически удалить административный общий ресурс.


5
Права администратора. Это происходит, только если пользователь является администратором домена или локальным администратором на целевом ПК. Это не происходит, когда пользователь является локальным администратором на своем ПК, но никто другой.
благодарность

3
Он не может быть администратором сети в целом. Часто при настройке компьютера некоторые администраторы добавляют группу «Пользователь домена» в локальную группу администраторов, чтобы любой, кто отключает сайты, мог что-либо устанавливать и т. Д. Если вы делаете это на каждом компьютере, вы получаете эффект администратора везде. , но серверы.
Котро

Вот почему я использовал менее техническую фразу: «Ваша учетная запись пользователя, вероятно, установлена ​​как администратор в сети». Это можно было бы сформулировать более явно, но для человека, обладающего такими способностями и ноу-хау, я счел это целесообразным.
music2myear

1
Эта ситуация звучит гораздо страшнее, чем я думал. Я действительно не хочу размешивать банк, но я собираюсь довести это до парня поддержки или администратора сети в понедельник. Я не могу позволить этому упасть.
Джош Джонсон

11

C $ является административной долей. Вы, вероятно, не должны отключать это, поскольку это может сломать вещи.

Настоящая проблема безопасности здесь заключается в том, что, похоже, они назначены всеми администраторами на каждой машине (возможно, благодаря добавлению пользователей домена в группу локальных администраторов).

В некотором смысле это не должно быть проблемой, поскольку лично я не считаю, что что-то должно храниться локально, и что «Мои документы» должны быть перенаправлены на ваш персональный подключенный диск на сервере, чего они не будут иметь доступ, если не было еще большей ошибки безопасности.


+1 за сопоставленные Мои документы. Я рассматриваю возможность сделать это в моем офисе в качестве повышения безопасности. Уже работает на моем компьютере, и это работает как шарм.
music2myear

Отличные баллы (+1). Я считаю, что наличие пользователя с правами администратора на их локальном компьютере позволяет избежать многих проблем, связанных с неправильным функционированием или установкой (или обновлением) программного обеспечения - обычно гораздо сложнее не предоставлять права администратора, но предоставлять всем компьютерам в сети кажется ненужным.
Рэндольф Ричардсон

2

Как все говорили, буклет $ - это факт жизни Windows.

Но почему вы администратор на рабочем столе ваших коллег? И .. Я бы подтвердил, является ли он администратором на вашем рабочем столе? Это реальная проблема здесь.

Даже если вы удалите общий ресурс администратора ... ничто не мешает людям войти на ваш рабочий стол и получить доступ к вашим файлам, потому что они администратор на вашем компьютере. Это просто удобный способ обойти вход в систему.

Поскольку вы являетесь администратором на своем компьютере, я бы посмотрел на группу администраторов, явно добавил себя, а затем удалил группу пользователей домена, которая, вероятно, существует.


1
Это большая опасность. Я думаю, это было неочевидно, но люди, которые рекомендуют отключать общие ресурсы администратора, упускают общую картину. У кого еще есть права администратора? Учитывая, что ваша роль в компании не уникальна, меня это еще больше напугает. Если у вас есть права администратора по всей сети, кто еще ??????
Surfasb

1

Щелкните правой кнопкой мыши на «Компьютер» (меню «Пуск»)

Выберите «Управление»

Разверните «Общие папки»

нажмите «Акции»

на правой панели вы увидите все общие папки на этом компьютере, все с $ являются скрытыми, вы можете щелкнуть правой кнопкой мыши на C $ и выбрать «остановить обмен»

Как предполагает Дарт, после перезагрузки ресурс будет воссоздан.

Вы можете отключить его в реестре, но я не думаю, что ваша компания это оценит.

Вы также можете отключить общий доступ к файлам в брандмауэре Windows, но это приведет к уничтожению всех общих файловых ресурсов.

,


И он выдаст предупреждение «Этот общий ресурс был создан только для административных целей. Общий ресурс появится снова, когда служба сервера будет остановлена ​​и перезапущена, или компьютер будет перезагружен. Вы действительно хотите прекратить совместное использование C $?»
Ƭᴇcʜιᴇ007

0

Страница Википедии об административных ресурсах должна ответить на ваши вопросы. В основном для доступа к этим общим ресурсам ваша учетная запись является прямой или косвенной (наиболее вероятной) частью локальной административной группы на всех компьютерах.

Один из способов просмотра групп вы находитесь в это выполнить с помощью командной строки: gpresult /R. Лично ваш ИТ-отдел звучит неуместно, если все пользователи имеют локальный доступ администратора ко всем компьютерам. С учетом вышесказанного я чувствую, что вы все еще не должны ничего настраивать, но я бы сделал следующее:

  • Откройте управление компьютером (щелкните правой кнопкой мыши Компьютер, управляйте)
  • Слева выберите: Системные инструменты \ Локальные пользователи и группы \ Группы
  • Дважды щелкните Administratorsгруппу.

Каждый, кто является участником или членом группы в Administratorsгруппе, будет иметь доступ к вашим административным ресурсам. Первое, что я хотел бы сделать, это добавить свою учетную запись напрямую, если она еще не существует в качестве отказоустойчивой, если вы начинаете слишком развлекаться ... Теперь вы можете ломать голову, удаляя пользователей / группы, которые вы не хотите иметь доступ.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.