Preoccupazione per la sicurezza con Windows 7 Box at Work

Questa domanda può essere strana e sbagliata, ma non sono affatto un esperto di Windows, quindi sentiti libero di correggermi.

Il gruppo in cui mi trovo recentemente ha messo al lavoro nuovi computer. Mi hanno dato un nuovo computer e hanno collegato il mio vecchio computer alla rete per una settimana in modo da poter dedicare il mio tempo a trasferire i file / le configurazioni necessarie ecc \\PCNAME\c$. e, in fondo, ecco la mia vecchia unità C: ho pensato, "Che enorme problema di sicurezza. Trasferirò tutto rapidamente e poi lo "separerò". "

È arrivata la fine della giornata e ho effettuato l'accesso tramite desktop remoto e ho fatto clic con il tasto destro sull'unità C. Ma non è stato condiviso. Ho chiamato The Support Guy e gli ho spiegato che non volevo che il mio drive C fosse disponibile per tutti gli utenti della rete per tutto il fine settimana. Sembrava confuso. Disse: "Non è proprio 'condiviso'. Se vai al prompt dei comandi e digiti \\ANYPCNAME\c$, ottieni il loro disco C. È così."

Ho riagganciato il telefono e mi sono avvicinato alla scrivania di un collega e ho guardato il suo nome PC (c'è un adesivo su ogni computer) e poi sono tornato alla mia scrivania e ho messo un hellofile sul suo desktop.

Non tengo nulla di personale sul mio computer di lavoro, ma ci sono problemi di sicurezza definiti. Non proprio all'interno del gruppo in cui mi trovo, ma dalle centinaia di altri dipendenti della rete (e del dominio) che non conosco. Sto bene con battute pratiche ma cosa succede se qualcuno ha un rancore sconosciuto nei miei confronti (o qualcuno con un nome o un nome di computer simile) e aggiunge un linguaggio brutto contro il mio capo ai documenti che fanno parte di un progetto?

È una parte ereditaria di come funzionano i domini Windows? Ci sono dei passaggi che posso fare per rendere la mia scatola un po 'più sicura? Tieni presente che ho i diritti di amministratore della casella ma non posso cambiare nulla per quanto riguarda la rete o il dominio. Anche solo una spiegazione di ciò che sta succedendo sarebbe di grande aiuto in quanto va contro tutto ciò che so essere "piuttosto basilare" sui sistemi informatici in generale. Ho più familiarità con Linux, quindi Windows World è un po 'estraneo a me.

Azione supplementare

Ho espresso le mie preoccupazioni al riguardo al lavoro. Mi è stato detto, "Nessuno conosce la cosa $ drive quindi non c'è nulla di cui preoccuparsi". Ha seguito la soluzione di Darth e ha aggiunto quella chiave di registro. Ora aspetterò e vedrò se qualcuno viene avvisato.

Quello che vedi è uno dei Administrative Sharesquali è abilitato su ogni macchina Windows per tutte le unità non rimovibili come \\computername\driveletter$. Tuttavia, dovrebbe essere accessibile solo a qualcuno che fa parte del gruppo Administrators locale (sembra che il gruppo Domain Administrators o Domain Users sia stato aggiunto al gruppo Administrators locale).

Il fatto triste della vita è che non puoi davvero disabilitarli completamente senza perdere qualcos'altro a sua volta (puoi disabilitare il filesharing, ad esempio, ma poi non puoi condividere i file ...). Dal momento che sono condivisioni nascoste (come indicato da $alla fine), non è possibile visualizzarle durante il broswing \\computername, ma mostreranno se si digita net shareun prompt dei comandi.

Disabilitarli non dovrebbe essere il tuo primo modo di agire se Support Guy è disposto ad ascoltare un po 'di ragione-- Chiedigli di limitare le autorizzazioni che gli utenti normali hanno sui computer in rete in modo che non possano interferire con i file degli altri, o vedere se sposterà i profili utente e i documenti in una condivisione file server (la soluzione migliore, ma molto più coinvolta).

Se non riesce o non lo risolve, è possibile disabilitarli temporaneamente digitando net share c$ /delete, ma Windows li ricreerà ogni volta che si riavvia il computer. Potrebbe essere possibile inserire questi comandi in un file batch eseguito all'avvio.

Se desideri davvero proteggere il tuo computer, ci sono anche condivisioni nascoste chiamate admin$e IPC$che potrebbero rivelare molte informazioni sul tuo computer e i suoi file a qualcuno sulla rete che puoi disabilitare.

Come sottolineato in altre risposte, potrebbero esserci programmi che dipendono dalla disponibilità di queste condivisioni e questo potrebbe attirare l'attenzione di Support Guy se sta cercando di utilizzare una delle condivisioni amministrative per aiutare a mantenere il sistema e non può accedervi.

Modificare:

Sembra che è possibile disattivare le azioni partizione root ( c$, d$, ecc) con la seguente chiave di registro (crearlo se non esiste):

Hive: HKEY_LOCAL_MACHINE
Chiave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nome: AutoShareWks
Tipo di dati: REG_DWORD
Valore:0

Ciò non disabiliterà la IPC$condivisione, tuttavia.

L'account utente è probabilmente impostato come amministratore su tutti i PC della rete. Ci possono essere vari motivi per questo, molti dei quali non i migliori.

Ogni computer su un dominio ha ogni unità condivisa con ciò che viene chiamato e condivisione amministrativa. Questa condivisione è sempre la lettera di unità seguita da $. Come l'hai visto: C $. Questo è sempre disponibile per tutti gli utenti i cui account sono amministratori su quel computer. Ci sono buoni motivi per farlo. La maggior parte dei programmi di patching usa questo, così come molti programmi di sicurezza. Inoltre, SupportGuys come me lo usa per ottenere file da e verso i computer per riparazione, diagnosi, risoluzione dei problemi e assistenza all'utente, solo per citarne alcuni.

In genere non si desidera eliminare una condivisione di amministrazione a meno che non si sia certi che nella rete non siano necessari programmi che la richiedano. Ad esempio: SupportGuy potrebbe essere necessario utilizzare questa condivisione per distribuire aggiornamenti critici sul computer.

Il problema si verifica quando tutti gli account utente regolari sulla rete come amministratori. Questo è il problema e questo è ciò che dovrebbe essere affrontato nel tuo ufficio. Dovresti essere utenti o utenti esperti, a seconda delle autorizzazioni necessarie. Con casi speciali indicati per le persone che hanno effettivamente bisogno dei diritti di amministratore.

AGGIORNAMENTO Indirizzare altre risposte: consiglio vivamente di non disabilitare la condivisione amministrativa a meno che tu non sappia davvero che non ci sono sistemi che lo richiedono. Il primo modo di agire dovrebbe essere scoprire perché il tuo account dispone delle autorizzazioni di amministratore di dominio e se è davvero necessario. In questo modo risolverai i problemi di sicurezza nell'intera rete, non solo un piccolo problema di sintomo che hai scoperto qui. Se non vi è alcun motivo legittimo per l'utente di disporre dei diritti di amministratore di dominio e SupportGuy non è disposto a rimuovere tali diritti se si considera effettivamente la rimozione della condivisione amministrativa.

C $ è la condivisione amministrativa. Probabilmente non dovresti disabilitarlo, poiché potrebbe rompere le cose.

Il vero problema di sicurezza qui è che sembra che abbiano creato tutti gli amministratori su ogni macchina (forse attraverso l'aggiunta di utenti di dominio al gruppo degli amministratori locali).

In un certo senso ciò non dovrebbe costituire un problema poiché, personalmente, non credo che nulla debba essere archiviato localmente in primo luogo e che "I miei documenti" dovrebbero essere reindirizzati all'unità mappata personale sul server, cosa che non avrebbero avere accesso a meno che non vi sia stato un intervallo di sicurezza ancora maggiore.

Come tutti hanno detto driveletter $ è un dato di fatto della vita di Windows.

Ma perché sei un amministratore sul desktop dei tuoi colleghi? E ... confermo che è un amministratore sul tuo desktop? QUESTO è il vero problema qui.

Anche se dovessi rimuovere la condivisione dell'amministratore ... non c'è nulla che impedisca alle persone di accedere al desktop e accedere ai tuoi file perché sono amministratori sul tuo computer. La condivisione è solo un modo pratico per aggirare l'accesso.

Dato che sei un amministratore sulla tua macchina, darei un'occhiata al gruppo di amministratori, aggiungo te stesso esplicitamente e quindi rimuovo il gruppo di utenti di dominio che probabilmente è lì.

Fare clic destro su "Computer" (menu Start)

Seleziona "Gestisci"

Espandi "Cartelle condivise"

fai clic su "Azioni"

nel riquadro a destra vedrai tutte le condivisioni su quel PC, qualsiasi con $ sono condivisioni nascoste, puoi fare clic con il tasto destro su C $ e selezionare "interrompi condivisione"

Come suggerito da Darth, la condivisione verrà ricreata al riavvio.

Puoi disabilitarlo nel registro ma non credo che la tua azienda lo apprezzerebbe.

Puoi anche disabilitare la condivisione dei file in Windows Firewall, ma questo ucciderà tutte le condivisioni di file.

.

La pagina Wikipedia sulle condivisioni amministrative dovrebbe rispondere alle tue domande. Fondamentalmente, al fine di accedere a tali condivisioni, il tuo account fa parte direttamente o indirettamente (molto probabilmente) del gruppo amministrativo locale su tutti i computer.

Un modo per visualizzare i gruppi siete in è quello di eseguire tramite la riga di comando: gpresult /R. Personalmente il tuo reparto IT sembra inetto se tutti gli utenti hanno accesso di amministratore locale a tutti i computer. Detto questo, sento che non dovresti ancora modificare le cose, ma questo è quello che farei:

• Apri gestione computer (tasto destro del mouse su Computer, gestisci)
• A sinistra selezionare: Strumenti di sistema \ Utenti e gruppi locali \ Gruppi
• Fare doppio clic sul Administratorsgruppo.

Chiunque sia membro o membro di un gruppo nel Administratorsgruppo avrà accesso alle condivisioni amministrative. La prima cosa che vorrei fare è aggiungere il tuo account direttamente se non è già lì come a prova di errore se inizi a divertirti troppo ... Ora puoi iniziare a rompere le cose rimuovendo utenti / gruppi che non vuoi avere accesso.