L'amministratore visualizza TUTTE le unità mappate

11

Nella mia comprensione della sicurezza, un amministratore dovrebbe essere in grado di visualizzare tutte le connessioni da e verso un computer, così come può visualizzare tutti i processi / proprietario, connessioni di rete / processo di proprietà. Tuttavia, Windows 8 sembra averlo disabilitato.

Come amministratore che esegue un elevato in Win Vista + quando si esegue net usesi ottiene indietro tutte le unità mappate, elencate come non disponibili. In Windows 8, lo stesso comando eseguito da un prompt elevato restituisce "Non ci sono voci nell'elenco". Il comportamento è identico per PowerShell Get-WmiObject Win32_LogonSessionMappedDisk.

È necessario eseguire una soluzione alternativa per i mapping persistenti Get-ChildItem Registry::HKU*\Network*. Questo non include mappature temporanee (nel mio esempio particolare è stato creato tramite explorer su un account amministratore e non ho selezionato "Riconnetti all'accesso")

Esiste un modo diretto / semplice per l'amministratore di visualizzare le connessioni di qualsiasi utente (a parte uno script che viene eseguito in ogni contesto utente)? Ho letto Alcuni programmi Impossibile accedere alle posizioni di rete quando UAC è abilitato ma non credo che si applichi particolarmente.

Ho visto questa risposta, ma non risolve ancora i problemi con le unità non persistenti. Come posso sapere quali unità di rete hanno mappato gli utenti?

command-line-interface  windows-8  uac  mappeddrive  forensics 
kskid19
fonte
Powershell Cmdlet Get-SmbMappingaiuta?
Ryan Ries,
No, stesso risultato. L'ho provato anche su Win7 la scorsa notte (versione errata di PowerShell) e fornisce gli stessi risultati quando si riceve un prompt elevato tramite un utente standard.
kskid19
Un comando con un output più dettagliato è wmic netuse. Probabilmente vorrai scriverlo in un file e aprirlo come valori separati da tabulazioni.
Jason,
Dal punto di vista della sicurezza, un elenco di mappature è inutile. Dopotutto, si può accedere a queste condivisioni direttamente tramite il percorso UNC senza mai mapparle.
Roman,

Risposte:

4

Su Windows 7, se UAC è abilitato e apri il prompt dei comandi con "Esegui come amministratore", non vedrai neanche le unità mappate. Su Windows 8, noterai che anche quando UAC è disabilitato, devi comunque "Esegui come amministratore".

Il motivo per cui l'amministratore non vede le unità mappate è spiegato nell'articolo Technet che hai collegato . In poche parole, si esegue solo con un token amministratore e le unità mappate vengono assegnate al token utente standard. Windows 7 con UAC disabilitato esegue il Prompt dei comandi con entrambi i token.

La risoluzione in quell'articolo funziona anche con Windows 8. Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, creare un valore DWORD di EnableLinkedConnections , impostarlo su 1 e riavviare.

Prompt dei comandi dell'amministratore

Jason
fonte
Questo indirizza la visualizzazione delle unità se si è contemporaneamente l'amministratore del sistema e l'utente. Che dire della visualizzazione di connessioni non persistenti di qualsiasi utente su un sistema / rete? (Ecco perché ho chiesto qui invece di superutente)
kskid19
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.