Забота о безопасности с моей Windows 7 Box на работе

Этот вопрос может быть странным и неправильным, но я ни в коем случае не эксперт по Windows, поэтому не стесняйтесь меня поправлять.

Группа, в которой я недавно работала, получила новые компьютеры. Они дали мне новый компьютер и подключили мой старый компьютер к сети на неделю, чтобы я мог потратить время на передачу необходимых файлов / конфигов и т. Д. Парень из службы поддержки сказал: «Просто зайди в« беги »и набери \\PCNAME\c$. и, тихо, вот мой старый диск C: я подумал про себя: «Какая огромная проблема безопасности. Я просто быстро все перенесу, а потом "разкажу". "

Конец дня наступил, и я вошел через удаленный рабочий стол и щелкнул правой кнопкой мыши на диске C. Но это не было поделено. Я позвонил парню поддержки и объяснил ему, что не хочу, чтобы мой диск C был доступен всем в сети все выходные. Он казался смущенным. Он сказал: «На самом деле это не« общий доступ ». Если вы идете в командную строку и вводите, \\ANYPCNAME\c$вы получаете их диск C. Вот так оно и есть».

Я повесил трубку телефона и подошел к столу коллеги, посмотрел на имя его компьютера (на каждом компьютере есть наклейка), а затем вернулся к своему столу и положил helloфайл на рабочий стол.

Я не храню ничего личного на своем рабочем компьютере, но есть определенные проблемы с безопасностью. Не из группы, в которой я нахожусь, а из сотен других сотрудников сети (и домена), которых я не знаю. Я в порядке с практическими шутками, но что, если кто-то имеет неизвестное недовольство мной (или кто-то с похожим именем или именем компьютера) и добавляет непристойные высказывания против моего босса к документам, которые являются частью проекта?

Является ли это наследственной частью работы доменов Windows? Могу ли я предпринять какие-либо шаги, чтобы сделать свою коробку немного более безопасной? Имейте в виду, что у меня есть права администратора для ящика, но я не могу ничего изменить в том, что касается сети или домена. Даже простое объяснение того, что происходит, очень помогло бы, поскольку это идет вразрез со всем, что, как я знаю, является «довольно базовым» в компьютерных системах в целом. Я более знаком с Linux, поэтому Windows World немного чужды для меня.

Следовать за

Высказал свои опасения по этому поводу на работе. Мне сказали: «Никто не знает, что такое диск, поэтому не о чем беспокоиться». Следовал решению Дарта и добавил этот раздел реестра. Теперь я подожду и посмотрю, если кто-нибудь получит предупреждение.

То, что вы видите, является одним из тех, Administrative Sharesкоторые включены на каждом компьютере Windows для всех несъемных дисков, как \\computername\driveletter$. Однако он должен быть доступен только тому, кто входит в локальную группу «Администраторы» (похоже, что группа «Администраторы домена» или «Пользователи домена» добавлена ​​в локальную группу «Администраторы»).

Печальный факт жизни состоит в том, что вы не можете полностью отключить их, не потеряв при этом что-то еще (например, вы можете отключить общий доступ к файлам, но тогда вы не сможете делиться файлами ...). Так как они являются скрытыми (как обозначено $в конце), вы не можете просматривать их при просмотре \\computername, но они будут отображаться, если вы введете net shareв командной строке.

Отключение их не должно быть вашим первым действием, если парень службы поддержки хочет выслушать небольшую причину - попросите его ограничить разрешения, которые имеют обычные пользователи на компьютерах по сети, чтобы они не могли связываться с файлами друг друга, или посмотрите, перенесет ли он профили пользователей и документы на файловый ресурс сервера (лучшее, но гораздо более сложное решение).

Если он не может или не хочет это исправить, вы можете временно отключить их, набрав net share c$ /delete, но Windows будет воссоздавать их каждый раз при перезагрузке компьютера. Возможно, вы сможете вставить эти команды в командный файл, который запускается при запуске.

Если вы действительно хотите , чтобы защитить ваш компьютер, там также скрытые акции под названием admin$и IPC$которые могли бы как раскрыть много информации о вашем компьютере , и это файлы с кем - то в сети , которые вы можете отключить.

Как указано в других ответах, могут существовать программы, которые зависят от доступности этих общих ресурсов, и это может привлечь внимание парня из службы поддержки, если он пытается использовать один из административных ресурсов для поддержки вашей системы и не может получить к ней доступ.

Редактировать:

Кажется , вы можете отключить акции корневого раздела ( c$, d$и т.д.) со следующим ключом реестра (создать его , если он не существует):

Улей: HKEY_LOCAL_MACHINE
Ключ: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Имя: AutoShareWks
Тип данных: REG_DWORD
Значение:0

Однако это не приведет к отключению общего IPC$ресурса.

Ваша учетная запись пользователя, вероятно, установлена ​​в качестве администратора на всех компьютерах в сети. Для этого могут быть разные причины, большинство из которых не самые лучшие.

Каждый компьютер в домене имеет общий диск с тем, что называется и административным ресурсом. Эта доля всегда является буквой диска, за которой следует $. Как вы видели это: C $. Это всегда доступно всем пользователям, чьи учетные записи являются администраторами на этом компьютере. Для этого есть веские причины. Большинство программ исправлений используют это, как и многие программы безопасности. Кроме того, SupportGuys, как я, используют его для получения файлов на компьютеры и с компьютеров для ремонта, диагностики, устранения неполадок и помощи пользователям, и это лишь некоторые из них.

Как правило, вы не хотите удалять административный общий ресурс, если вы не уверены, что в вашей сети нет необходимых программ, которые в этом нуждаются. Например: SupportGuy может понадобиться использовать этот общий ресурс для развертывания критических обновлений на вашем компьютере.

Проблема возникает, когда все обычные учетные записи пользователей в сети являются администраторами. Это проблема, и это то, что следует решать в вашем офисе. Вы должны быть пользователями или опытными пользователями, в зависимости от необходимых разрешений. Особые случаи даны для людей, которым действительно нужны права администратора.

ОБНОВЛЕНИЕ Обращаясь к другим ответам: я настоятельно рекомендую не отключать административный общий ресурс, если вы действительно не знаете, что для этого не требуется систем. Первым делом следует выяснить, почему ваша учетная запись имеет разрешения администратора домена и действительно ли это необходимо. Это позволит решить проблемы безопасности во всей сети, а не только одну небольшую проблему с симптомами, которую вы обнаружили здесь. Если у вас нет законных оснований для того, чтобы у вас были права администратора домена, и SupportGuy не хочет удалять указанные права, если вы решите фактически удалить административный общий ресурс.

C $ является административной долей. Вы, вероятно, не должны отключать это, поскольку это может сломать вещи.

Настоящая проблема безопасности здесь заключается в том, что, похоже, они назначены всеми администраторами на каждой машине (возможно, благодаря добавлению пользователей домена в группу локальных администраторов).

В некотором смысле это не должно быть проблемой, поскольку лично я не считаю, что что-то должно храниться локально, и что «Мои документы» должны быть перенаправлены на ваш персональный подключенный диск на сервере, чего они не будут иметь доступ, если не было еще большей ошибки безопасности.

Как все говорили, буклет $ - это факт жизни Windows.

Но почему вы администратор на рабочем столе ваших коллег? И .. Я бы подтвердил, является ли он администратором на вашем рабочем столе? Это реальная проблема здесь.

Даже если вы удалите общий ресурс администратора ... ничто не мешает людям войти на ваш рабочий стол и получить доступ к вашим файлам, потому что они администратор на вашем компьютере. Это просто удобный способ обойти вход в систему.

Поскольку вы являетесь администратором на своем компьютере, я бы посмотрел на группу администраторов, явно добавил себя, а затем удалил группу пользователей домена, которая, вероятно, существует.

Щелкните правой кнопкой мыши на «Компьютер» (меню «Пуск»)

Выберите «Управление»

Разверните «Общие папки»

нажмите «Акции»

на правой панели вы увидите все общие папки на этом компьютере, все с $ являются скрытыми, вы можете щелкнуть правой кнопкой мыши на C $ и выбрать «остановить обмен»

Как предполагает Дарт, после перезагрузки ресурс будет воссоздан.

Вы можете отключить его в реестре, но я не думаю, что ваша компания это оценит.

Вы также можете отключить общий доступ к файлам в брандмауэре Windows, но это приведет к уничтожению всех общих файловых ресурсов.

,

Страница Википедии об административных ресурсах должна ответить на ваши вопросы. В основном для доступа к этим общим ресурсам ваша учетная запись является прямой или косвенной (наиболее вероятной) частью локальной административной группы на всех компьютерах.

Один из способов просмотра групп вы находитесь в это выполнить с помощью командной строки: gpresult /R. Лично ваш ИТ-отдел звучит неуместно, если все пользователи имеют локальный доступ администратора ко всем компьютерам. С учетом вышесказанного я чувствую, что вы все еще не должны ничего настраивать, но я бы сделал следующее:

• Откройте управление компьютером (щелкните правой кнопкой мыши Компьютер, управляйте)
• Слева выберите: Системные инструменты \ Локальные пользователи и группы \ Группы
• Дважды щелкните Administratorsгруппу.

Каждый, кто является участником или членом группы в Administratorsгруппе, будет иметь доступ к вашим административным ресурсам. Первое, что я хотел бы сделать, это добавить свою учетную запись напрямую, если она еще не существует в качестве отказоустойчивой, если вы начинаете слишком развлекаться ... Теперь вы можете ломать голову, удаляя пользователей / группы, которые вы не хотите иметь доступ.