Турбота про безпеку з моїм вікном Windows 7 на роботі

Це питання може бути дивним і неправильним, але я жодним чином не є експертом Windows, тому не соромтеся мене виправляти.

Група, в якій я нещодавно, отримала нові комп’ютери на роботі. Вони дали мені новий комп’ютер і підключили старий комп'ютер до мережі на тиждень, щоб я міг витратити час на передачу необхідних файлів / конфігурацій тощо. Хлопець із підтримки сказав: "Просто перейдіть до" запуску "і введіть \\PCNAME\c$. Так що я зробив і, ось низький, ось мій старий диск C: Я подумав собі: «Яке величезне питання безпеки. Я просто перенесу все швидко, а потім 'скасую'.

Прийшов кінець дня, і я зайшов у систему через віддалений робочий стіл і правою кнопкою миші натиснув диск C. Але це не було спільним. Я зателефонував хлопцю з підтримки та пояснив йому, що я не хочу, щоб мій диск C був доступний усім у мережі всі вихідні. Він здавався розгубленим. Він сказав: "Це насправді не" загальнодоступне ". Якщо ви перейдете до командного рядка і введіть, \\ANYPCNAME\c$ви отримаєте їх диск C. Ось так воно і є".

Я повісив трубку і підійшов до столу колеги, переглянув його ім’я ПК (на кожному комп’ютері є наклейка), а потім повернувся до свого робочого столу і поклав helloфайл на робочий стіл.

Я не зберігаю нічого особистого на своєму робочому комп’ютері, але є певні проблеми з безпекою. Насправді не з групи, в якій я перебуваю, а з сотень інших працівників мережі (і домену), яких я не знаю. Я добре вживаю практичні анекдоти, але що робити, якщо у когось є невідома кривда на мене (або хтось з подібним іменем чи ім'ям комп’ютера) і додає неприємну мову проти мого начальника до документів, які є частиною проекту?

Це спадкова частина того, як працюють домени Windows? Чи можна зробити якісь кроки, щоб зробити свій ящик трохи безпечнішим? Майте на увазі, що я маю права адміністратора на поле, але я не можу нічого змінити, наскільки це стосується мережі чи домену. Навіть лише пояснення того, що відбувається, було б великою допомогою, оскільки це суперечить усьому, що я знаю, як «досить основна» щодо комп'ютерних систем загалом. Я більше знайомий з Linux, тому Windows World мені трохи чужий.

Слідувати

Висловив свої занепокоєння з цього приводу на роботі. Мені сказали: "Ніхто не знає про драйвову річ, тому хвилюватися нема про що". Дотримуйтесь рішення Дарта та додайте цей ключ реєстру. Зараз я зачекаю і побачу, чи хтось отримає попередження.

Те, що ви бачите, - одне з Administrative Sharesяких увімкнено на кожній машині Windows для всіх незнімних дисків як \\computername\driveletter$. Однак він повинен бути доступний лише тому, хто перебуває в локальній групі адміністраторів (це здається, що до локальної групи адміністраторів додано домену адміністраторів або домену користувачів).

Сумний факт життя - це те, що ти не можеш їх повністю відключити, не втрачаючи щось по черзі (наприклад, можна вимкнути спільний доступ до файлів, але тоді ви не можете ділитися файлами ...). Оскільки вони є прихованими $спільними ресурсами (як позначено в кінці), ви не можете їх переглядати під час перегляду веб-сторінок \\computername, але вони відображатимуться, якщо ви введете net shareкомандний рядок.

Відключення їх не повинно бути вашим першим дією, якщо хлопець підтримки готовий вислухати трохи причин. Попросіть його обмежити дозволи, які мають постійні користувачі на комп’ютерах по мережі, щоб вони не могли возитися з файлами один одного, або перегляньте, чи перемістить він профілі користувачів та документи до файлового файлу сервера (краще, але набагато більше рішення).

Якщо він не може або не виправить це, ви можете їх тимчасово відключити, ввівши net share c$ /delete, але Windows буде відтворювати їх щоразу, коли комп'ютер перезавантажується. Можливо, ви зможете вставити ці команди в пакетний файл, який запускається при запуску.

Якщо ви дійсно хочете , щоб захистити ваш комп'ютер, там також приховані акції під назвою admin$і IPC$які могли б як розкрити багато інформації про вашому комп'ютері , і це файли з ким - то в мережі , які ви можете відключити.

Як вказувалося в інших відповідях, можливо, існують програми, які залежать від доступності цих акцій, і це може привернути увагу Гая підтримки, якщо він намагається використовувати одну з адміністративних акцій для підтримки системи та не має доступу до неї.

Редагувати:

Здається, ви можете відключити розділення кореневого розділу ( c$, d$тощо) за допомогою наступного ключа реєстру (створити його, якщо його немає):

Вулик: HKEY_LOCAL_MACHINE
Ключ: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Ім'я: AutoShareWks
Тип даних: REG_DWORD
Значення:0

Це IPC$, однак, не відключить частку.

Ваш обліковий запис користувача, ймовірно, встановлений як адміністратор на всіх комп'ютерах у мережі. Для цього можуть бути різні причини, більшість з них не найкращі.

Кожен комп’ютер у домені має кожен накопичувач, який ділиться тим, що називається, та адміністративною службою. Ця частка завжди є буквою диска з наступним $. Як ви це бачили: C $. Це завжди доступно для всіх користувачів, чиї акаунти є адміністраторами на цьому комп’ютері. Для цього є вагомі причини. Більшість програм виправлення використовує це, як і багато програм безпеки. Крім того, SupportGuys, як я, використовує його для отримання файлів на комп'ютери та з них для ремонту, діагностики, усунення несправностей та надання допомоги користувачеві.

Ви, як правило, не хочете видаляти спільну частку адміністратора, якщо ви впевнені, що у вашій мережі немає необхідних програм, які цього вимагають. Наприклад: SupportGuy може знадобитися використовувати цю спільну частину для розгортання критичних оновлень на вашому комп'ютері.

Проблема виникає, коли всі регулярні облікові записи користувачів у мережі як адміністратори. У цьому проблема, і саме це має вирішити у вашому офісі. Ви повинні бути користувачами або енергоспоживачами, залежно від необхідних дозволів. З особливими випадками, які надаються людям, яким фактично потрібні права адміністратора.

ОНОВЛЕННЯ Адресація інших відповідей: Я настійно рекомендую не відключати адміністративну частку, якщо ви дійсно не знаєте, що не існує систем, які цього вимагають. Першим дією слід з’ясувати, чому ваш обліковий запис має дозволи адміністратора домену, і якщо це дійсно необхідно. Це дозволить вирішити проблеми із безпекою у всій мережі, а не лише одну маленьку проблему, яку ви виявили тут. Якщо для вас немає законних причин мати права адміністратора домену, і SupportGuy не бажає видаляти зазначені права, якщо ви можете розглянути фактичне видалення адміністративної частки.

C $ - адміністративна частка. Напевно, ви не повинні відключати це, оскільки це може зламати речі.

Справжня проблема безпеки тут полягає в тому, що це здається, що вони зробили всіх адміністраторів на кожній машині (можливо, через додавання користувачів домену до групи місцевих адміністраторів).

У чомусь це не повинно бути проблемою, оскільки я особисто не вважаю, що нічого слід зберігати локально, і "Мої документи" повинні бути перенаправлені на ваш персональний відображений на сервері диск, який вони не мати доступ до, якщо не було ще більшого проміжку безпеки.

Як усі кажуть, що дороговказ $ - це факт життя Windows.

Але чому ти адміністратор на робочому столі колег? І .. я б підтвердив, він адміністратор на вашому робочому столі? Це справжнє питання тут.

Навіть якби ви видаляли спільний доступ адміністратора .. нічого не заважає людям зайти на ваш робочий стіл та отримати доступ до ваших файлів, оскільки вони є адміністратором на вашій машині. Частка - це просто зручний спосіб обійти реєстрацію.

Оскільки ви адміністратор на своїй машині, я перегляну групу адміністратора, явно додаю себе, а потім видаліть групу користувачів домену, яка, ймовірно, є.

Клацніть правою кнопкою миші на "Комп'ютер" (меню "Пуск")

Виберіть "Керувати"

Розгорнути "Спільні папки"

натисніть "Акції"

на правій панелі ви побачите всі акції на цьому ПК, будь-які з $ - це приховані папки, ви можете клацнути правою кнопкою миші на C $ і вибрати "зупинити спільний доступ"

Як пропонує Дарт, частка буде відтворена після перезавантаження.

Ви можете відключити його в реєстрі, але я не думаю, що ваша компанія це оцінить.

Ви також можете відключити спільний доступ до файлів у брандмауері Windows, але це знищить усі файли спільного доступу.

.

Сторінка Вікіпедії про адміністративні акції повинна відповісти на ваші запитання. В основному для доступу до цих акцій ваш обліковий запис є безпосередньо або опосередковано (швидше за все) частиною місцевої адміністративної групи на всіх комп’ютерах.

Один з способів перегляду груп ви перебуваєте в це виконати з допомогою командного рядка: gpresult /R. Особисто ваш ІТ-відділ звучить неефективно, якщо всі користувачі мають доступ місцевого адміністратора до всіх комп’ютерів. З цим сказаним я відчуваю, що ти все одно не повинен підлаштовувати речі, але ось що я б робив:

• Відкрити управління комп'ютером (клацніть правою кнопкою миші Комп'ютер, керувати)
• Виберіть ліворуч: Системні інструменти \ Місцеві користувачі та групи \ Групи
• Двічі клацніть на Administratorsгрупі.

Кожен, хто є членом або членом групи в Administratorsгрупі, матиме доступ до ваших адміністративних акцій. Перше, що я б зробив, - це безпосередньо додати ваш акаунт, якщо його вже не існує, як безпечний збій, якщо ви почнете забавлятись ... Тепер ви можете переламати речі, видаливши користувачів / груп, яких ви не хочете мати доступ.