Widok administratora WSZYSTKIE zmapowane dyski

11

W moim rozumieniu administrator powinien mieć możliwość przeglądania wszystkich połączeń do iz komputera - tak jak może przeglądać wszystkie procesy / właściciela, połączenia sieciowe / proces posiadania. Wydaje się jednak, że Windows 8 to wyłączył.

Jako administrator z podwyższonym poziomem uprawnień w Win Vista + po uruchomieniu net useodzyskujesz wszystkie dyski zmapowane, wymienione jako niedostępne. W systemie Windows 8 to samo polecenie uruchomione z wiersza polecenia z podwyższonym poziomem uprawnień zwraca „Brak wpisów na liście”. Zachowanie jest identyczne dla PowerShell Get-WmiObject Win32_LogonSessionMappedDisk.

Obejściem dla trwałych mapowań jest uruchomienie Get-ChildItem Registry::HKU*\Network*. Nie obejmuje to mapowań tymczasowych (w moim konkretnym przykładzie został on utworzony za pomocą Eksploratora na koncie administratora i nie wybrałem „Połącz ponownie przy logowaniu”)

Czy administrator ma bezpośredni / prosty sposób na przeglądanie połączeń dowolnego użytkownika (bez skryptu działającego w każdym kontekście użytkownika)? Przeczytałem, że niektóre programy nie mogą uzyskać dostępu do lokalizacji sieciowych, gdy UAC jest włączony, ale nie sądzę, aby miało to szczególne zastosowanie.

Widziałem tę odpowiedź, ale nadal nie dotyczy ona dysków nietrwałych. Jak mogę stwierdzić, które dyski sieciowe zamapowali użytkownicy?

command-line-interface windows-8 uac mappeddrive forensics kskid19
źródło
Czy polecenie cmdlet Powershell Get-SmbMappingpomaga?
Ryan Ries
Nie, ten sam wynik. Testowałem go także wczoraj wieczorem na Win7 (zła wersja programu PowerShell) i daje takie same wyniki, gdy pojawi się podniesiony monit przez standardowego użytkownika.
kskid19,
Polecenie z bardziej szczegółowym wyjściem to wmic netuse. Prawdopodobnie będziesz chciał zapisać to do pliku i otworzyć jako wartości rozdzielone tabulatorami.
Jason
Z punktu widzenia bezpieczeństwa lista mapowań jest bezużyteczna. W końcu można uzyskać dostęp do tych udziałów bezpośrednio ścieżką UNC, bez ich mapowania.
RomanSt

Odpowiedzi:

4

W systemie Windows 7, jeśli UAC jest włączony i otworzysz Wiersz polecenia z opcją „Uruchom jako administrator”, nie zobaczysz mapowanych dysków. W systemie Windows 8 zauważysz, że nawet gdy UAC jest wyłączony, nadal musisz „Uruchomić jako administrator”.

Powód, dla którego Administrator nie widzi zamapowanych dysków, wyjaśniono w połączonym artykule Technet . Krótko mówiąc, działasz tylko z tokenem administratora, a zamapowane dyski są przekazywane do standardowego tokena użytkownika. Windows 7 z wyłączonym UAC uruchamia wiersz polecenia z obydwoma tokenami.

Rozdzielczość w tym artykule działa również w systemie Windows 8. Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, utwórz wartość DWORD EnableLinkedConnections , ustaw ją na 1 i uruchom ponownie.

Wiersz polecenia administratora

Jason
źródło
Dotyczy to przeglądania dysków, jeśli jesteś jednocześnie administratorem systemu i użytkownikiem. Co z przeglądaniem nietrwałych połączeń dowolnego użytkownika w systemie / sieci? (Dlatego zapytałem tutaj zamiast superużytkownika)
kskid19,