Турбота про безпеку з моїм вікном Windows 7 на роботі


41

Це питання може бути дивним і неправильним, але я жодним чином не є експертом Windows, тому не соромтеся мене виправляти.

Група, в якій я нещодавно, отримала нові комп’ютери на роботі. Вони дали мені новий комп’ютер і підключили старий комп'ютер до мережі на тиждень, щоб я міг витратити час на передачу необхідних файлів / конфігурацій тощо. Хлопець із підтримки сказав: "Просто перейдіть до" запуску "і введіть \\PCNAME\c$. Так що я зробив і, ось низький, ось мій старий диск C: Я подумав собі: «Яке величезне питання безпеки. Я просто перенесу все швидко, а потім 'скасую'.

Прийшов кінець дня, і я зайшов у систему через віддалений робочий стіл і правою кнопкою миші натиснув диск C. Але це не було спільним. Я зателефонував хлопцю з підтримки та пояснив йому, що я не хочу, щоб мій диск C був доступний усім у мережі всі вихідні. Він здавався розгубленим. Він сказав: "Це насправді не" загальнодоступне ". Якщо ви перейдете до командного рядка і введіть, \\ANYPCNAME\c$ви отримаєте їх диск C. Ось так воно і є".

Я повісив трубку і підійшов до столу колеги, переглянув його ім’я ПК (на кожному комп’ютері є наклейка), а потім повернувся до свого робочого столу і поклав helloфайл на робочий стіл.

Я не зберігаю нічого особистого на своєму робочому комп’ютері, але є певні проблеми з безпекою. Насправді не з групи, в якій я перебуваю, а з сотень інших працівників мережі (і домену), яких я не знаю. Я добре вживаю практичні анекдоти, але що робити, якщо у когось є невідома кривда на мене (або хтось з подібним іменем чи ім'ям комп’ютера) і додає неприємну мову проти мого начальника до документів, які є частиною проекту?

Це спадкова частина того, як працюють домени Windows? Чи можна зробити якісь кроки, щоб зробити свій ящик трохи безпечнішим? Майте на увазі, що я маю права адміністратора на поле, але я не можу нічого змінити, наскільки це стосується мережі чи домену. Навіть лише пояснення того, що відбувається, було б великою допомогою, оскільки це суперечить усьому, що я знаю, як «досить основна» щодо комп'ютерних систем загалом. Я більше знайомий з Linux, тому Windows World мені трохи чужий.

Слідувати

Висловив свої занепокоєння з цього приводу на роботі. Мені сказали: "Ніхто не знає про драйвову річ, тому хвилюватися нема про що". Дотримуйтесь рішення Дарта та додайте цей ключ реєстру. Зараз я зачекаю і побачу, чи хтось отримає попередження.


6
Це зовсім гайки. Має бути простий спосіб відключити це.
James T Snell

6
Це не зовсім гайки. Це так, як вікна спроектовані і з поважних причин. Див мою подальшу відповідь нижче.
music2myear

13
І ні, ваше питання щонайменше не дивне, і ви зробили чудову роботу з його описом, враховуючи вашу самоописану неекспертизм. Ви були спостережливими та вдумливими, чого б я хотів, щоб навіть 10-я моїх користувачів були.
music2myear

4
+1, оскільки ваші побоювання є розумними та виправданими.
Рандольф Річардсон

2
О, вау, це насправді хвилює. Щоб додати більше нагальності до вашого запиту, зауважте, що це, ймовірно, працює і на робочих станціях, які використовуються людськими ресурсами. Це речі, які я не думаю, що компанія хоче, щоб довільні працівники могли читати (набагато менше змінювати!)
Tim Post

Відповіді:


38

Те, що ви бачите, - одне з Administrative Sharesяких увімкнено на кожній машині Windows для всіх незнімних дисків як \\computername\driveletter$. Однак він повинен бути доступний лише тому, хто перебуває в локальній групі адміністраторів (це здається, що до локальної групи адміністраторів додано домену адміністраторів або домену користувачів).

Сумний факт життя - це те, що ти не можеш їх повністю відключити, не втрачаючи щось по черзі (наприклад, можна вимкнути спільний доступ до файлів, але тоді ви не можете ділитися файлами ...). Оскільки вони є прихованими $спільними ресурсами (як позначено в кінці), ви не можете їх переглядати під час перегляду веб-сторінок \\computername, але вони відображатимуться, якщо ви введете net shareкомандний рядок.

Відключення їх не повинно бути вашим першим дією, якщо хлопець підтримки готовий вислухати трохи причин. Попросіть його обмежити дозволи, які мають постійні користувачі на комп’ютерах по мережі, щоб вони не могли возитися з файлами один одного, або перегляньте, чи перемістить він профілі користувачів та документи до файлового файлу сервера (краще, але набагато більше рішення).

Якщо він не може або не виправить це, ви можете їх тимчасово відключити, ввівши net share c$ /delete, але Windows буде відтворювати їх щоразу, коли комп'ютер перезавантажується. Можливо, ви зможете вставити ці команди в пакетний файл, який запускається при запуску.

Якщо ви дійсно хочете , щоб захистити ваш комп'ютер, там також приховані акції під назвою admin$і IPC$які могли б як розкрити багато інформації про вашому комп'ютері , і це файли з ким - то в мережі , які ви можете відключити.

Як вказувалося в інших відповідях, можливо, існують програми, які залежать від доступності цих акцій, і це може привернути увагу Гая підтримки, якщо він намагається використовувати одну з адміністративних акцій для підтримки системи та не має доступу до неї.

Редагувати:

Здається, ви можете відключити розділення кореневого розділу ( c$, d$тощо) за допомогою наступного ключа реєстру (створити його, якщо його немає):

Вулик: HKEY_LOCAL_MACHINE
Ключ: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Ім'я: AutoShareWks
Тип даних: REG_DWORD
Значення:0

Це IPC$, однак, не відключить частку.


1
+1 - Я збирався додати інформацію у вашу редакцію, але ви побили мене. ;)
Ƭᴇcʜιᴇ007

14
Видалення адміністративних акцій ніколи не є хорошим початковим варіантом. Є причини, що вони існують, і належним чином захищене середовище не зазнає проблем із безпекою. Саме привілеї облікового запису повинні вирішуватися в першу чергу.
music2myear

1
@ music2myear Він сказав, що не має контролю над мережевою або доменною політикою, тому припустив, що привілеї облікового запису не знаходяться в таблиці варіантів. Крім того, якщо він виправить це локально (скажімо, шляхом видалення адміністраторів домену з локальної групи адміністраторів), це матиме такий же ефект, як і відключення спільних ресурсів (цей ефект - це доступ до акцій з мережі з метою встановлення програмного забезпечення або тому подібне
Darth Android

1
Це скоріше питання політики, ніж питання дизайну. Наприклад, це неможливо там, де я є. Але якщо ви не маєте великого досвіду роботи в Active Directory, я можу побачити, як вони налаштували його там, де хто може це зробити. . .
surfasb

1
Більшість користувачів не мають (або не повинні) контролю над мережевою або доменною політикою. Однак запитання чи запитання, поставлені відповідному управлінському чи ІТ-персоналу, можуть допомогти розпочати відповідний і, можливо, необхідний перегляд політики безпеки ІТ.
music2myear

16

Ваш обліковий запис користувача, ймовірно, встановлений як адміністратор на всіх комп'ютерах у мережі. Для цього можуть бути різні причини, більшість з них не найкращі.

Кожен комп’ютер у домені має кожен накопичувач, який ділиться тим, що називається, та адміністративною службою. Ця частка завжди є буквою диска з наступним $. Як ви це бачили: C $. Це завжди доступно для всіх користувачів, чиї акаунти є адміністраторами на цьому комп’ютері. Для цього є вагомі причини. Більшість програм виправлення використовує це, як і багато програм безпеки. Крім того, SupportGuys, як я, використовує його для отримання файлів на комп'ютери та з них для ремонту, діагностики, усунення несправностей та надання допомоги користувачеві.

Ви, як правило, не хочете видаляти спільну частку адміністратора, якщо ви впевнені, що у вашій мережі немає необхідних програм, які цього вимагають. Наприклад: SupportGuy може знадобитися використовувати цю спільну частину для розгортання критичних оновлень на вашому комп'ютері.

Проблема виникає, коли всі регулярні облікові записи користувачів у мережі як адміністратори. У цьому проблема, і саме це має вирішити у вашому офісі. Ви повинні бути користувачами або енергоспоживачами, залежно від необхідних дозволів. З особливими випадками, які надаються людям, яким фактично потрібні права адміністратора.

ОНОВЛЕННЯ Адресація інших відповідей: Я настійно рекомендую не відключати адміністративну частку, якщо ви дійсно не знаєте, що не існує систем, які цього вимагають. Першим дією слід з’ясувати, чому ваш обліковий запис має дозволи адміністратора домену, і якщо це дійсно необхідно. Це дозволить вирішити проблеми із безпекою у всій мережі, а не лише одну маленьку проблему, яку ви виявили тут. Якщо для вас немає законних причин мати права адміністратора домену, і SupportGuy не бажає видаляти зазначені права, якщо ви можете розглянути фактичне видалення адміністративної частки.


5
Повторні права адміністратора: це відбувається лише тоді, коли користувач - адміністратор домену або локальний адміністратор на цільовому ПК. Це не відбувається, коли користувачем є місцевий адміністратор на своєму ПК, але ніхто інший.
grawity

3
Він, можливо, не є адміністратором мережі в цілому. Часто під час налаштування комп’ютера деякі адміністратори додають групу користувачів домену до локальної групи адміністратора, щоб кожен, хто перебуває на веб-сайтах, міг встановлювати речі тощо. Якщо це робити на кожному комп’ютері, ви матимете наслідки бути адміністратором скрізь , але сервери.
KCotreau

Ось чому я використав менш технічну верхівку "Ваш обліковий запис користувача, ймовірно, встановлений як адміністратор в мережі". Це могло бути більш чітко сформульоване, але для людини, що володіє цією здатністю та ноу-хау, я вважав це доречним.
music2myear

1
Ця ситуація звучить набагато страшніше, ніж я думав. Я не дуже хочу розмішувати горщик, але я збираюся донести це до хлопця підтримки або адміністратора мережі в понеділок. Я не можу дійсно дозволити йому ковзати.
Джош Джонсон

11

C $ - адміністративна частка. Напевно, ви не повинні відключати це, оскільки це може зламати речі.

Справжня проблема безпеки тут полягає в тому, що це здається, що вони зробили всіх адміністраторів на кожній машині (можливо, через додавання користувачів домену до групи місцевих адміністраторів).

У чомусь це не повинно бути проблемою, оскільки я особисто не вважаю, що нічого слід зберігати локально, і "Мої документи" повинні бути перенаправлені на ваш персональний відображений на сервері диск, який вони не мати доступ до, якщо не було ще більшого проміжку безпеки.


+1 для відображення "Моїх документів". Я розглядаю це у своєму офісі як підвищення безпеки. Я вже працюю на моєму комп’ютері, і це працює як шарм.
music2myear

Відмінні бали (+1). Я вважаю, що наявність у користувача адміністратора на своїй локальній машині дозволяє уникнути безлічі проблем з тим, що програмне забезпечення не функціонує або не встановлюється (або оновляється) правильно - зазвичай набагато більше клопоту не надавати права адміністратора, а надавати всі машини в мережі здається непотрібним.
Рендольф Річардсон

2

Як усі кажуть, що дороговказ $ - це факт життя Windows.

Але чому ти адміністратор на робочому столі колег? І .. я б підтвердив, він адміністратор на вашому робочому столі? Це справжнє питання тут.

Навіть якби ви видаляли спільний доступ адміністратора .. нічого не заважає людям зайти на ваш робочий стіл та отримати доступ до ваших файлів, оскільки вони є адміністратором на вашій машині. Частка - це просто зручний спосіб обійти реєстрацію.

Оскільки ви адміністратор на своїй машині, я перегляну групу адміністратора, явно додаю себе, а потім видаліть групу користувачів домену, яка, ймовірно, є.


1
Це більша небезпека. Я думаю, це не було очевидно, але люди, які рекомендують вимкнути адміністраторські акції, пропускають велику картину. Хто ще має право адміністратора? Зважаючи на те, що ваша роль у компанії не є унікальною, це би мене більше налякало. Якщо у вас є права адміністратора на всі мережі, хто ще ??????
surfasb

1

Клацніть правою кнопкою миші на "Комп'ютер" (меню "Пуск")

Виберіть "Керувати"

Розгорнути "Спільні папки"

натисніть "Акції"

на правій панелі ви побачите всі акції на цьому ПК, будь-які з $ - це приховані папки, ви можете клацнути правою кнопкою миші на C $ і вибрати "зупинити спільний доступ"

Як пропонує Дарт, частка буде відтворена після перезавантаження.

Ви можете відключити його в реєстрі, але я не думаю, що ваша компанія це оцінить.

Ви також можете відключити спільний доступ до файлів у брандмауері Windows, але це знищить усі файли спільного доступу.

.


І це дасть вам попередження "Ця частка була створена лише для адміністративних цілей. Частка знову з’явиться, коли серверна послуга буде зупинена і перезапущена або перезапущено комп'ютер. Ви впевнені, що хочете припинити ділитися C $?"
Ƭᴇcʜιᴇ007

0

Сторінка Вікіпедії про адміністративні акції повинна відповісти на ваші запитання. В основному для доступу до цих акцій ваш обліковий запис є безпосередньо або опосередковано (швидше за все) частиною місцевої адміністративної групи на всіх комп’ютерах.

Один з способів перегляду груп ви перебуваєте в це виконати з допомогою командного рядка: gpresult /R. Особисто ваш ІТ-відділ звучить неефективно, якщо всі користувачі мають доступ місцевого адміністратора до всіх комп’ютерів. З цим сказаним я відчуваю, що ти все одно не повинен підлаштовувати речі, але ось що я б робив:

  • Відкрити управління комп'ютером (клацніть правою кнопкою миші Комп'ютер, керувати)
  • Виберіть ліворуч: Системні інструменти \ Місцеві користувачі та групи \ Групи
  • Двічі клацніть на Administratorsгрупі.

Кожен, хто є членом або членом групи в Administratorsгрупі, матиме доступ до ваших адміністративних акцій. Перше, що я б зробив, - це безпосередньо додати ваш акаунт, якщо його вже не існує, як безпечний збій, якщо ви почнете забавлятись ... Тепер ви можете переламати речі, видаливши користувачів / груп, яких ви не хочете мати доступ.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.