Перегляд адміністратором ВСІХ відображених накопичувачів

11

Наскільки я розумію безпеку, адміністратор повинен мати можливість переглядати всі з'єднання з комп'ютером і з нього так само, як вони можуть переглядати всі процеси / власника, мережеві з'єднання / процес володіння. Однак Windows 8, здається, це відключила.

Оскільки адміністратор працює на підвищеній версії Win Vista +, коли ви запускаєте, net useви отримуєте назад усі накопичені диски, вказані як недоступні. У Windows 8 та сама команда запускається із підвищеного підказки, що повертається "У списку немає записів". Поведінка є однаковою для повноважень Get-WmiObject Win32_LogonSessionMappedDisk.

Для вирішення стійких відображень вирішується спосіб вирішення Get-ChildItem Registry::HKU*\Network*. Це не включає тимчасові відображення (у моєму конкретному прикладі воно було створене за допомогою провідника в обліковому записі адміністратора, і я не вибрав "Повторно підключитися при вході")

Чи існує прямий / простий спосіб для адміністратора переглядати з'єднання будь-якого користувача (окрім сценарію, який працює під кожним контекстом користувача)? Я читав, що деякі програми не можуть отримати доступ до мережевих локацій, коли UAC увімкнено, але я не думаю, що це особливо стосується.

Я бачив цю відповідь, але вона все ще не стосується непостійних дисків. Як я можу сказати, які мережеві накопичувачі нанесли на карту користувачі?

command-line-interface  windows-8  uac  mappeddrive  forensics 
kskid19
джерело
Чи Get-SmbMappingдопомагає Powershell Cmdlet ?
Райан Райс
Ні, такий же результат. Я також тестував його на Win7 вчора ввечері (неправильна версія повноважень), і він дає ті самі результати, коли ви отримуєте підказку підвищеного рівня через стандартного користувача.
kskid19
Команда з більш детальним висновком є wmic netuse. Ви, ймовірно, захочете записати це у файл та відкрити його у вигляді розділених на вкладку значень.
Джейсон
З точки зору безпеки, список відображень марний. Зрештою, можна отримати доступ до цих акцій безпосередньо через шлях до UNC, не змінюючи їх.
RomanSt

Відповіді:

4

У Windows 7, якщо UAC увімкнено, і ви відкриєте командний рядок із пунктом "Запустити як адміністратор", відображені також не відображені зіставлені диски. У Windows 8 ви помітите, що навіть коли вимкнено UAC, вам все одно доведеться "Запустити як адміністратор".

Причина, по якій адміністратор не бачить відображені на диску накопичені диски, пояснюється у статті, в якій ви зв’язалися . У двох словах, ви працюєте лише з маркером адміністратора, а відображені диски надаються стандартному маркеру користувача. Windows 7 з відключеним UAC запускає командний рядок з обома маркерами.

Дозвіл у цій статті також працює з Windows 8. Перейдіть до HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, створіть значення DWORD EnableLinkedConnections , встановіть його на 1 та перезапустіть.

Командний рядок адміністратора

Джейсон
джерело
Ця адреса переглядає накопичувачі, якщо ви адміністратор системи та користувач одночасно. Що з переглядом непостійних підключень будь-якого користувача в системі / мережі? (Ось чому я попросив тут замість
суперпользователя
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.