Preoccupazione per la sicurezza con Windows 7 Box at Work


41

Questa domanda può essere strana e sbagliata, ma non sono affatto un esperto di Windows, quindi sentiti libero di correggermi.

Il gruppo in cui mi trovo recentemente ha messo al lavoro nuovi computer. Mi hanno dato un nuovo computer e hanno collegato il mio vecchio computer alla rete per una settimana in modo da poter dedicare il mio tempo a trasferire i file / le configurazioni necessarie ecc \\PCNAME\c$. e, in fondo, ecco la mia vecchia unità C: ho pensato, "Che enorme problema di sicurezza. Trasferirò tutto rapidamente e poi lo "separerò". "

È arrivata la fine della giornata e ho effettuato l'accesso tramite desktop remoto e ho fatto clic con il tasto destro sull'unità C. Ma non è stato condiviso. Ho chiamato The Support Guy e gli ho spiegato che non volevo che il mio drive C fosse disponibile per tutti gli utenti della rete per tutto il fine settimana. Sembrava confuso. Disse: "Non è proprio 'condiviso'. Se vai al prompt dei comandi e digiti \\ANYPCNAME\c$, ottieni il loro disco C. È così."

Ho riagganciato il telefono e mi sono avvicinato alla scrivania di un collega e ho guardato il suo nome PC (c'è un adesivo su ogni computer) e poi sono tornato alla mia scrivania e ho messo un hellofile sul suo desktop.

Non tengo nulla di personale sul mio computer di lavoro, ma ci sono problemi di sicurezza definiti. Non proprio all'interno del gruppo in cui mi trovo, ma dalle centinaia di altri dipendenti della rete (e del dominio) che non conosco. Sto bene con battute pratiche ma cosa succede se qualcuno ha un rancore sconosciuto nei miei confronti (o qualcuno con un nome o un nome di computer simile) e aggiunge un linguaggio brutto contro il mio capo ai documenti che fanno parte di un progetto?

È una parte ereditaria di come funzionano i domini Windows? Ci sono dei passaggi che posso fare per rendere la mia scatola un po 'più sicura? Tieni presente che ho i diritti di amministratore della casella ma non posso cambiare nulla per quanto riguarda la rete o il dominio. Anche solo una spiegazione di ciò che sta succedendo sarebbe di grande aiuto in quanto va contro tutto ciò che so essere "piuttosto basilare" sui sistemi informatici in generale. Ho più familiarità con Linux, quindi Windows World è un po 'estraneo a me.

Azione supplementare

Ho espresso le mie preoccupazioni al riguardo al lavoro. Mi è stato detto, "Nessuno conosce la cosa $ drive quindi non c'è nulla di cui preoccuparsi". Ha seguito la soluzione di Darth e ha aggiunto quella chiave di registro. Ora aspetterò e vedrò se qualcuno viene avvisato.


6
È assolutamente fuori di testa. Deve esserci un modo semplice per disabilitarlo.
James T Snell,

6
Non è del tutto pazzo. Ecco come è progettato Windows e per una buona ragione. Vedi la mia ulteriore risposta di seguito.
music2myear,

13
E no, la tua domanda non è affatto strana e hai fatto un ottimo lavoro nel descriverla data la tua perizia auto-descritta. Sei stato attento e premuroso, il che è qualcosa che vorrei anche un decimo dei miei utenti.
music2myear,

4
+1 perché le tue preoccupazioni sono ragionevoli e giustificate.
Randolf Richardson,

2
Oh wow, è davvero preoccupante. Per aggiungere più urgenza alla tua richiesta, tieni presente che probabilmente funziona anche su workstation utilizzate dalle risorse umane. Questa è roba che non credo che l'azienda voglia che i dipendenti arbitrari siano in grado di leggere (molto meno di modificare!)
Tim Post

Risposte:


38

Quello che vedi è uno dei Administrative Sharesquali è abilitato su ogni macchina Windows per tutte le unità non rimovibili come \\computername\driveletter$. Tuttavia, dovrebbe essere accessibile solo a qualcuno che fa parte del gruppo Administrators locale (sembra che il gruppo Domain Administrators o Domain Users sia stato aggiunto al gruppo Administrators locale).

Il fatto triste della vita è che non puoi davvero disabilitarli completamente senza perdere qualcos'altro a sua volta (puoi disabilitare il filesharing, ad esempio, ma poi non puoi condividere i file ...). Dal momento che sono condivisioni nascoste (come indicato da $alla fine), non è possibile visualizzarle durante il broswing \\computername, ma mostreranno se si digita net shareun prompt dei comandi.

Disabilitarli non dovrebbe essere il tuo primo modo di agire se Support Guy è disposto ad ascoltare un po 'di ragione-- Chiedigli di limitare le autorizzazioni che gli utenti normali hanno sui computer in rete in modo che non possano interferire con i file degli altri, o vedere se sposterà i profili utente e i documenti in una condivisione file server (la soluzione migliore, ma molto più coinvolta).

Se non riesce o non lo risolve, è possibile disabilitarli temporaneamente digitando net share c$ /delete, ma Windows li ricreerà ogni volta che si riavvia il computer. Potrebbe essere possibile inserire questi comandi in un file batch eseguito all'avvio.

Se desideri davvero proteggere il tuo computer, ci sono anche condivisioni nascoste chiamate admin$e IPC$che potrebbero rivelare molte informazioni sul tuo computer e i suoi file a qualcuno sulla rete che puoi disabilitare.

Come sottolineato in altre risposte, potrebbero esserci programmi che dipendono dalla disponibilità di queste condivisioni e questo potrebbe attirare l'attenzione di Support Guy se sta cercando di utilizzare una delle condivisioni amministrative per aiutare a mantenere il sistema e non può accedervi.

Modificare:

Sembra che è possibile disattivare le azioni partizione root ( c$, d$, ecc) con la seguente chiave di registro (crearlo se non esiste):

Hive: HKEY_LOCAL_MACHINE
Chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nome: AutoShareWks
Tipo di dati: REG_DWORD
Valore:0

Ciò non disabiliterà la IPC$condivisione, tuttavia.


1
+1 - Stavo per aggiungere le informazioni nella tua modifica, ma mi hai battuto. ;)
Ƭᴇcʜιᴇ007,

14
L'eliminazione delle condivisioni amministrative non è mai una buona opzione di partenza. Esistono dei motivi per cui esistono e un ambiente adeguatamente protetto non presenta problemi di sicurezza a causa loro. Sono i privilegi dell'account che devono essere innanzitutto indirizzati.
music2myear,

1
@ music2myear Ha detto che non aveva il controllo sulla rete o sui criteri di dominio, quindi ho pensato che i privilegi dell'account non fossero sul tavolo delle opzioni. Inoltre, se lo risolve localmente (diciamo, rimuovendo gli amministratori di dominio dal gruppo degli amministratori locali), ciò avrebbe lo stesso effetto di disabilitare le condivisioni (detto effetto essendo l'accesso alle condivisioni dalla rete allo scopo di installare software o simili
Darth Android

1
Questo è più un problema di politica che un problema di progettazione. Ad esempio, questo non è possibile dove sono. Ma se non hai molta esperienza in Active Directory, posso vedere come lo impostano dove chiunque può farlo. . .
surfasb,

1
La maggior parte degli utenti non ha (o non dovrebbe avere) il controllo sulla rete o sui criteri di dominio. Tuttavia, una domanda o una o due domande poste alla direzione o al personale IT appropriati possono aiutare a iniziare una revisione appropriata e probabilmente necessaria della politica di sicurezza IT.
music2myear,

16

L'account utente è probabilmente impostato come amministratore su tutti i PC della rete. Ci possono essere vari motivi per questo, molti dei quali non i migliori.

Ogni computer su un dominio ha ogni unità condivisa con ciò che viene chiamato e condivisione amministrativa. Questa condivisione è sempre la lettera di unità seguita da $. Come l'hai visto: C $. Questo è sempre disponibile per tutti gli utenti i cui account sono amministratori su quel computer. Ci sono buoni motivi per farlo. La maggior parte dei programmi di patching usa questo, così come molti programmi di sicurezza. Inoltre, SupportGuys come me lo usa per ottenere file da e verso i computer per riparazione, diagnosi, risoluzione dei problemi e assistenza all'utente, solo per citarne alcuni.

In genere non si desidera eliminare una condivisione di amministrazione a meno che non si sia certi che nella rete non siano necessari programmi che la richiedano. Ad esempio: SupportGuy potrebbe essere necessario utilizzare questa condivisione per distribuire aggiornamenti critici sul computer.

Il problema si verifica quando tutti gli account utente regolari sulla rete come amministratori. Questo è il problema e questo è ciò che dovrebbe essere affrontato nel tuo ufficio. Dovresti essere utenti o utenti esperti, a seconda delle autorizzazioni necessarie. Con casi speciali indicati per le persone che hanno effettivamente bisogno dei diritti di amministratore.

AGGIORNAMENTO Indirizzare altre risposte: consiglio vivamente di non disabilitare la condivisione amministrativa a meno che tu non sappia davvero che non ci sono sistemi che lo richiedono. Il primo modo di agire dovrebbe essere scoprire perché il tuo account dispone delle autorizzazioni di amministratore di dominio e se è davvero necessario. In questo modo risolverai i problemi di sicurezza nell'intera rete, non solo un piccolo problema di sintomo che hai scoperto qui. Se non vi è alcun motivo legittimo per l'utente di disporre dei diritti di amministratore di dominio e SupportGuy non è disposto a rimuovere tali diritti se si considera effettivamente la rimozione della condivisione amministrativa.


5
Diritti di amministratore: ciò si verifica solo quando l'utente è un amministratore di dominio o un amministratore locale sul PC di destinazione . Non succede quando l'utente è un amministratore locale sul proprio PC ma nessun altro.
Grawity,

3
Potrebbe non essere un amministratore della rete nel suo insieme. Spesso quando si configura un computer, alcuni amministratori aggiungono il gruppo dell'Utente di dominio al gruppo di amministratori locali in modo che chiunque, i siti inattivi, possano installare cose, ecc. Se lo si fa su tutti i computer, si ha l'effetto di essere un amministratore ovunque , ma i server.
KCotreau,

Ecco perché ho usato il verbo meno tecnico "Il tuo account utente è probabilmente impostato come amministratore sulla rete". Avrebbe potuto essere più esplicitamente formulato, ma per una persona con questa capacità e know-how, l'ho ritenuto appropriato.
music2myear,

1
Questa situazione sembra molto più spaventosa di quanto pensassi. Non voglio davvero mescolare il piatto, ma lo porterò lunedì a The Support Guy o all'amministratore di rete. Non posso davvero lasciarlo scivolare.
Josh Johnson,

11

C $ è la condivisione amministrativa. Probabilmente non dovresti disabilitarlo, poiché potrebbe rompere le cose.

Il vero problema di sicurezza qui è che sembra che abbiano creato tutti gli amministratori su ogni macchina (forse attraverso l'aggiunta di utenti di dominio al gruppo degli amministratori locali).

In un certo senso ciò non dovrebbe costituire un problema poiché, personalmente, non credo che nulla debba essere archiviato localmente in primo luogo e che "I miei documenti" dovrebbero essere reindirizzati all'unità mappata personale sul server, cosa che non avrebbero avere accesso a meno che non vi sia stato un intervallo di sicurezza ancora maggiore.


+1 per I miei documenti mappati. Sto pensando di farlo nel mio ufficio come un miglioramento della sicurezza. Già eseguendolo sul mio computer e funziona come un fascino.
music2myear,

Punti eccellenti (+1). Trovo che avere un utente come amministratore sulla propria macchina locale eviti molti problemi con il software che non funziona o non installa (o aggiorna) correttamente - di solito è molto più una seccatura non concedere i diritti di amministratore, ma concedere a tutte le macchine sulla rete sembra inutile.
Randolf Richardson,

2

Come tutti hanno detto driveletter $ è un dato di fatto della vita di Windows.

Ma perché sei un amministratore sul desktop dei tuoi colleghi? E ... confermo che è un amministratore sul tuo desktop? QUESTO è il vero problema qui.

Anche se dovessi rimuovere la condivisione dell'amministratore ... non c'è nulla che impedisca alle persone di accedere al desktop e accedere ai tuoi file perché sono amministratori sul tuo computer. La condivisione è solo un modo pratico per aggirare l'accesso.

Dato che sei un amministratore sulla tua macchina, darei un'occhiata al gruppo di amministratori, aggiungo te stesso esplicitamente e quindi rimuovo il gruppo di utenti di dominio che probabilmente è lì.


1
Questo è il pericolo più grande. Immagino che non fosse ovvio, ma alle persone che raccomandano di disabilitare le condivisioni di amministrazione manca il quadro generale. Chi altri ha l'amministratore giusto? Considerando che il tuo ruolo nell'azienda non è unico, questo mi spaventerebbe di più. Se hai i diritti di amministratore in tutta la rete, chi altri ??????
surfasb,

1

Fare clic destro su "Computer" (menu Start)

Seleziona "Gestisci"

Espandi "Cartelle condivise"

fai clic su "Azioni"

nel riquadro a destra vedrai tutte le condivisioni su quel PC, qualsiasi con $ sono condivisioni nascoste, puoi fare clic con il tasto destro su C $ e selezionare "interrompi condivisione"

Come suggerito da Darth, la condivisione verrà ricreata al riavvio.

Puoi disabilitarlo nel registro ma non credo che la tua azienda lo apprezzerebbe.

Puoi anche disabilitare la condivisione dei file in Windows Firewall, ma questo ucciderà tutte le condivisioni di file.

.


E ti darà l'avvertimento "Questa condivisione è stata creata solo a fini amministrativi. La condivisione riapparirà quando il servizio Server viene arrestato e riavviato o il computer viene riavviato. Sei sicuro di voler interrompere la condivisione C $?"
Ƭᴇcʜιᴇ007,

0

La pagina Wikipedia sulle condivisioni amministrative dovrebbe rispondere alle tue domande. Fondamentalmente, al fine di accedere a tali condivisioni, il tuo account fa parte direttamente o indirettamente (molto probabilmente) del gruppo amministrativo locale su tutti i computer.

Un modo per visualizzare i gruppi siete in è quello di eseguire tramite la riga di comando: gpresult /R. Personalmente il tuo reparto IT sembra inetto se tutti gli utenti hanno accesso di amministratore locale a tutti i computer. Detto questo, sento che non dovresti ancora modificare le cose, ma questo è quello che farei:

  • Apri gestione computer (tasto destro del mouse su Computer, gestisci)
  • A sinistra selezionare: Strumenti di sistema \ Utenti e gruppi locali \ Gruppi
  • Fare doppio clic sul Administratorsgruppo.

Chiunque sia membro o membro di un gruppo nel Administratorsgruppo avrà accesso alle condivisioni amministrative. La prima cosa che vorrei fare è aggiungere il tuo account direttamente se non è già lì come a prova di errore se inizi a divertirti troppo ... Ora puoi iniziare a rompere le cose rimuovendo utenti / gruppi che non vuoi avere accesso.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.