Bezpieczeństwo związane z moim Windows 7 Box at Work

41

To pytanie może być dziwne i źle sformułowane, ale w żadnym wypadku nie jestem ekspertem od systemu Windows, więc popraw mnie.

Grupa, w której ostatnio pracuję, ma nowe komputery w pracy. Dali mi nowy komputer i przez tydzień podłączyli mój stary komputer do sieci, abym mógł poświęcić czas na przesyłanie niezbędnych plików / konfiguracji itp. Facet z działu wsparcia powiedział: „Po prostu idź do„ uruchom ”i wpisz \\PCNAME\c$. i nisko, a oto mój stary dysk C.: Pomyślałem sobie: „Co za ogromny problem z bezpieczeństwem. Po prostu prześlę wszystko szybko, a następnie go „cofnę”. ”

Nadszedł koniec dnia i zalogowałem się przez zdalny pulpit i kliknąłem prawym przyciskiem myszy dysk C. Ale nie został udostępniony. Zadzwoniłem do The Support Guy i wyjaśniłem mu, że nie chcę, aby mój dysk C był dostępny dla wszystkich w sieci przez cały weekend. Wydawał się zmieszany. Powiedział: „To nie jest tak naprawdę„ współdzielone ”. Jeśli pójdziesz do wiersza polecenia i wpiszesz \\ANYPCNAME\c$, dostaniesz ich dysk C. Tak po prostu jest.”

Odłożyłem słuchawkę i podszedłem do biurka współpracownika, spojrzałem na jego nazwę komputera (na każdym komputerze jest naklejka), a potem wróciłem do biurka i położyłem helloplik na pulpicie.

Nie przechowuję niczego osobistego na moim komputerze służbowym, ale istnieją pewne obawy dotyczące bezpieczeństwa. Nie tak naprawdę z grupy, w której jestem, ale z setek innych pracowników w sieci (i domenie), których nie znam. Nie przeszkadzają mi praktyczne żarty, ale co, jeśli ktoś ma do mnie pretensje (lub kogoś o podobnym nazwisku lub nazwie komputera) i dodaje paskudny język przeciwko mojemu szefowi do dokumentów, które są częścią projektu?

Czy jest to dziedziczna część działania domen Windows? Czy mogę podjąć jakieś kroki, aby moje pudełko było trochę bardziej bezpieczne? Pamiętaj, że mam uprawnienia administratora do urządzenia, ale nie mogę nic zmienić w zakresie sieci lub domeny. Nawet samo wyjaśnienie tego, co się dzieje, byłoby bardzo pomocne, ponieważ jest to sprzeczne ze wszystkim, co wiem, że ogólnie jest „dość podstawowe” na temat systemów komputerowych. Jestem bardziej zaznajomiony z Linuksem, więc Windows World jest dla mnie trochę obcy.

Zagryźć

Wyraził moje obawy dotyczące tego w pracy. Powiedziano mi: „Nikt nie wie o dysku $, więc nie ma się czym martwić”. Śledził rozwiązanie Dartha i dodał ten klucz rejestru. Teraz poczekam i zobaczę, czy ktoś zostanie powiadomiony.

Josh Johnson
źródło
6
To totalnie szalone. Musi istnieć łatwy sposób na wyłączenie tego.
James T Snell,
6
To nie jest całkowicie szalone. Tak zaprojektowano system Windows i nie bez powodu. Zobacz moją dalszą odpowiedź poniżej.
music2myear
13
I nie, twoje pytanie nie jest co najmniej dziwne, a wykonałeś świetną robotę, opisując je, biorąc pod uwagę swoją nieopisaną fachowość. Byłeś spostrzegawczy i troskliwy, czego chciałbym, aby nawet dziesiąta z moich użytkowników była.
music2myear
4
+1, ponieważ Twoje obawy są uzasadnione i uzasadnione.
Randolf Richardson,
2
Och, wow, to naprawdę niepokojące. Aby dodać pilności do twojego żądania, pamiętaj, że prawdopodobnie działa to również na stacjach roboczych używanych przez zasoby ludzkie. To nie wydaje mi się, że firma chce, aby arbitralni pracownicy mogli czytać (a tym bardziej modyfikować!)
Tim Post

Odpowiedzi:

38

To, co widzisz, jest jednym z tych, Administrative Sharesktóre są włączone na każdym komputerze z systemem Windows dla wszystkich dysków niewymiennych jako \\computername\driveletter$. Powinien być jednak dostępny tylko dla osób należących do lokalnej grupy administratorów (wygląda na to, że do lokalnej grupy administratorów dodano grupę Administratorzy domeny lub Użytkownicy domeny).

Smutnym faktem jest to, że tak naprawdę nie można ich całkowicie wyłączyć bez utraty czegoś innego (możesz na przykład wyłączyć udostępnianie plików, ale nie możesz udostępniać plików ...). Ponieważ są one ukrytymi udziałami (jak oznaczono $na końcu), nie można ich wyświetlić podczas przeglądania \\computername, ale będą widoczne, jeśli wpiszesz wiersz net sharepolecenia.

Wyłączenie ich nie powinno być twoim pierwszym działaniem, jeśli pracownik pomocy technicznej chętnie wysłucha jakiegoś powodu - Poproś go o ograniczenie uprawnień, które zwykli użytkownicy mają na komputerach w sieci, aby nie mogli się wzajemnie zepsuć, lub sprawdź, czy przeniesie profile użytkowników i dokumenty do udostępniania plików na serwerze (lepsze, ale znacznie bardziej zaangażowane rozwiązanie).

Jeśli nie może lub nie chce tego naprawić, możesz je tymczasowo wyłączyć, pisząc net share c$ /delete, ale system Windows odtworzy je przy każdym ponownym uruchomieniu komputera. Możesz być w stanie wbić te polecenia do pliku wsadowego uruchamianego podczas uruchamiania.

Jeśli naprawdę chcesz zabezpieczyć komputer, istnieje również ukryte udziały nazywa admin$i IPC$co może zarówno ujawniają wiele informacji o komputerze i to pliki do kogoś w sieci, które można wyłączyć.

Jak wskazano w innych odpowiedziach, mogą istnieć programy, które zależą od dostępności tych udziałów, i może to przyciągnąć uwagę Wsparcia, jeśli próbuje użyć jednego z udziałów administracyjnych w celu utrzymania systemu i nie może uzyskać do niego dostępu.

Edytować:

Wygląda na to, że możesz wyłączyć udziały partycji głównej ( c$, d$itp.) Za pomocą następującego klucza rejestru (utwórz go, jeśli nie istnieje):

Hive: HKEY_LOCAL_MACHINE
Klucz: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nazwa: AutoShareWks
Typ danych: REG_DWORD
Wartość:0

Nie spowoduje to jednak wyłączenia IPC$udziału.

Darth Android
źródło
1
+1 - Chciałem dodać informacje do twojej edycji, ale pobiłeś mnie. ;)
ᴇcʜιᴇ007
14
Usuwanie udziałów administracyjnych nigdy nie jest dobrą opcją początkową. Istnieją powody, dla których istnieją, a właściwie zabezpieczone środowisko z tego powodu nie ma problemów z bezpieczeństwem. Przede wszystkim należy zająć się przywilejami konta.
music2myear
1
@ music2myear Powiedział, że nie ma kontroli nad polityką sieci lub domeny, więc założyłem, że uprawnień do konta nie ma na liście opcji. Poza tym, jeśli naprawi to lokalnie (powiedzmy, usuwając Administratorów Domen z lokalnej grupy Administratorów), to miałoby to taki sam efekt jak wyłączenie udziałów (wspomniany efekt to dostęp do udziałów z sieci w celu zainstalowania oprogramowania lub itp.
Darth Android
1
Jest to bardziej problem polityczny niż projektowy. Na przykład nie jest to możliwe tam, gdzie jestem. Ale jeśli nie masz dużego doświadczenia w usłudze Active Directory, widzę, jak skonfigurowali to miejsce, w którym każdy może to zrobić. . .
surfasb
1
Większość użytkowników nie ma (lub nie powinna) kontrolować zasad sieci lub domeny. Jednak pytanie lub zapytanie złożone z odpowiednim kierownictwem lub personelem IT może pomóc w rozpoczęciu odpowiedniego i prawdopodobnie niezbędnego przeglądu polityki bezpieczeństwa IT.
music2myear
16

Twoje konto użytkownika jest prawdopodobnie ustawione jako Administrator na wszystkich komputerach w sieci. Powody mogą być różne, z których większość nie jest najlepsza.

Każdy komputer w domenie ma wspólny dysk z tym, co nazywa się i Udział administracyjny. Ten udział jest zawsze literą dysku, po której następuje $. Jak widziałeś: C $. Jest to zawsze dostępne dla wszystkich użytkowników, których konta są administratorami na tym komputerze. Są ku temu dobre powody. Wykorzystuje to większość programów łatających, podobnie jak wiele programów zabezpieczających. Ponadto, SupportGuys, tacy jak ja, używają go do pobierania plików zi do komputerów w celu naprawy, diagnozy, rozwiązywania problemów i pomocy użytkownika, żeby wymienić tylko kilka.

Zasadniczo nie chcesz usuwać udziału administracyjnego, chyba że masz pewność, że w sieci nie ma niezbędnych programów, które tego wymagają. Na przykład: SupportGuy może wymagać użycia tego udziału do wdrożenia krytycznych aktualizacji na komputerze.

Problem występuje, gdy wszystkie zwykłe konta użytkowników w sieci są administratorami. Na tym polega problem i właśnie w tym biurze należy się zająć. Powinieneś być użytkownikami lub użytkownikami zaawansowanymi, w zależności od niezbędnych uprawnień. Specjalne przypadki podane dla osób, które faktycznie potrzebują uprawnień administratora.

AKTUALIZACJA Adresowanie innych odpowiedzi: Zdecydowanie odradzam wyłączanie udziału administracyjnego, chyba że naprawdę wiesz, że nie ma takich systemów. Pierwszym działaniem powinno być ustalenie, dlaczego Twoje konto ma uprawnienia administratora domeny i czy jest to naprawdę konieczne. Spowoduje to naprawienie problemów związanych z bezpieczeństwem w całej sieci, a nie tylko jednego małego objawowego problemu, który tutaj odkryłeś. Jeśli nie ma uzasadnionego powodu, aby mieć uprawnienia administratora domeny, a SupportGuy nie chce usunąć tych uprawnień, jeśli rozważasz usunięcie udziału administracyjnego.

music2myear
źródło
5
Ponowne uprawnienia administratora: Dzieje się tak tylko wtedy, gdy użytkownik jest administratorem domeny lub lokalnym administratorem na komputerze docelowym . Nie dzieje się tak, gdy użytkownik jest lokalnym administratorem na swoim komputerze, ale nikogo innego.
grawity
3
Może nie być administratorem w sieci jako całości. Często podczas konfigurowania komputera niektórzy administratorzy dodają grupę użytkownika domeny do lokalnej grupy administracyjnej, aby każdy, kto ją przegląda, mógł instalować różne rzeczy itp. Jeśli to zrobisz na każdym komputerze, możesz być administratorem wszędzie , ale serwery.
KCotreau
Dlatego użyłem mniej technicznego słowa „Twoje konto użytkownika jest prawdopodobnie ustawione jako Administrator w sieci”. Mógłby być bardziej precyzyjnie sformułowany, ale dla osoby o tych umiejętnościach i know-how uznałem to za stosowne.
music2myear
1
Ta sytuacja brzmi o wiele bardziej przerażająco, niż myślałem. Naprawdę nie chcę mieszać puli, ale w poniedziałek przedstawię to pracownikowi pomocy technicznej lub administratorowi sieci. Naprawdę nie mogę pozwolić, żeby się ześlizgnęło.
Josh Johnson
11

C $ to udział administracyjny. Prawdopodobnie nie powinieneś go wyłączać, ponieważ może to popsuć.

Prawdziwy problem bezpieczeństwa polega na tym, że wygląda na to, że wszyscy administratorzy zostali przydzieleni na każdym komputerze (być może dzięki dodaniu użytkowników domeny do lokalnej grupy administratorów).

Pod pewnymi względami nie powinno to stanowić problemu, ponieważ osobiście nie wierzę, że cokolwiek powinno być przechowywane lokalnie, a „Moje dokumenty” powinny być przekierowywane na osobisty zmapowany dysk na serwerze, czego nie zrobiłyby mieć dostęp, chyba że nastąpiłby jeszcze większy brak bezpieczeństwa.

KCotreau
źródło
+1 za zmapowane Moje dokumenty. Rozważam zrobienie tego w moim biurze jako ulepszenie bezpieczeństwa. Już działa na moim komputerze i działa jak urok.
music2myear
Doskonałe punkty (+1). Uważam, że posiadanie przez administratora uprawnień na komputerze lokalnym pozwala uniknąć wielu problemów związanych z nieprawidłowym działaniem oprogramowania lub nieprawidłową instalacją (lub aktualizacją) - zwykle jest to znacznie trudniejsze, ponieważ nie przyznaje uprawnień administratora, ale udziela się wszystkim komputerom w sieci wydaje się niepotrzebny.
Randolf Richardson,
2

Jak wszyscy mówili, DriverDetter jest faktem życia systemu Windows.

Ale dlaczego jesteś administratorem pulpitu współpracowników? I .. Potwierdziłbym, że jest administratorem na twoim komputerze? TO jest prawdziwy problem tutaj.

Nawet jeśli chcesz usunąć udział administratora. Nic nie stoi na przeszkodzie, aby ludzie zalogowali się na twoim pulpicie i uzyskali dostęp do twoich plików, ponieważ są administratorami na twoim komputerze. Udział jest po prostu wygodnym sposobem na ominięcie logowania.

Ponieważ jesteś administratorem swojego komputera, rzuciłbym okiem na grupę administracyjną, wyraźnie się dodałem, a następnie usunąłem grupę użytkowników domeny, która prawdopodobnie tam jest.

itchi
źródło
1
To jest większe niebezpieczeństwo. Wydaje mi się, że nie było to oczywiste, ale osobom, które zalecają wyłączenie udziałów administracyjnych, brakuje dużego obrazu. Kto jeszcze ma uprawnienia administratora? Biorąc pod uwagę, że Twoja rola w firmie nie jest wyjątkowa, bardziej mnie to przestraszyło. Jeśli masz uprawnienia administratora w całej sieci, kto jeszcze ??????
surfasb
1

Kliknij prawym przyciskiem myszy „Komputer” (menu Start)

Wybierz „Zarządzaj”

Rozwiń „Foldery udostępnione”

kliknij „Udziały”

w prawym okienku zobaczysz wszystkie udziały na tym komputerze, wszystkie z $ są ukrytymi udziałami, możesz kliknąć C $ prawym przyciskiem myszy i wybrać „przestań udostępniać”

Jak sugeruje Darth, udział zostanie odtworzony po ponownym uruchomieniu.

Możesz to wyłączyć w rejestrze, ale nie sądzę, aby Twoja firma to doceniła.

Możesz także wyłączyć udostępnianie plików w Zaporze systemu Windows, ale spowoduje to zabicie wszystkich udziałów plików.

.

Moab
źródło
I wyświetli ostrzeżenie „Ten udział został utworzony wyłącznie w celach administracyjnych. Udział pojawi się ponownie, gdy usługa serwera zostanie zatrzymana i uruchomiona ponownie lub komputer zostanie ponownie uruchomiony. Czy na pewno chcesz przestać udostępniać C $?”
Ƭᴇcʜιᴇ007
0

Strona Wikipedii dotycząca udziałów administracyjnych powinna odpowiedzieć na twoje pytania. Zasadniczo, aby uzyskać dostęp do tych udziałów, twoje konto jest bezpośrednio lub pośrednio (najprawdopodobniej) częścią lokalnej grupy administracyjnej na wszystkich komputerach.

Jednym ze sposobów, aby wyświetlić grupy jesteś w jest uruchomienie z linii poleceń: gpresult /R. Osobiście Twój dział IT wydaje się nieudolny, jeśli wszyscy użytkownicy mają lokalnego administratora dostęp do wszystkich komputerów. Powiedziawszy to, czuję, że nadal nie powinieneś poprawiać rzeczy, ale tak właśnie zrobiłbym:

  • Otwórz zarządzanie komputerem (kliknij prawym przyciskiem myszy Komputer, zarządzaj)
  • Po lewej wybierz: Narzędzia systemowe \ Lokalni użytkownicy i grupy \ Grupy
  • Kliknij dwukrotnie Administratorsgrupę.

Każdy, kto jest członkiem lub członkiem grupy w Administratorsgrupie, będzie miał dostęp do twoich udziałów administracyjnych. Pierwszą rzeczą, którą chciałbym zrobić, to dodać konto bezpośrednio, jeśli nie jest już bezpieczne, jeśli zaczniesz się zbyt dobrze bawić ... Teraz możesz zająć się rozwiązywaniem problemów, usuwając użytkowników / grupy, których nie chcesz mieć dostęp.

daalbert
źródło