Windows 7 Box在工作中的安全性问题


41

这个问题可能很奇怪,而且措词错误,但是无论如何我都不是Windows专家,请随时纠正我。

我最近所在的小组正在使用新计算机。他们给了我一台新计算机,并将旧计算机连接到网络上了一周,这样我就可以花些时间传输必要的文件/配置等了。支持人员说:“只要去'run'并输入\\PCNAME\c$。而且,低端,还有我以前的C:驱动器。我对自己说:“这是一个巨大的安全问题。我将快速转移所有内容,然后“取消共享”。”

一天结束了,我通过远程桌面登录并右键单击C驱动器。但是没有共享。我打电话给支持人员,并向他解释说,我不希望整个周末网络上的每个人都可以使用我的C盘。他似乎很困惑。他说:“这并不是真正的'共享'。如果您进入命令提示符并键入,就\\ANYPCNAME\c$可以得到他们的C盘。就是这样。”

我挂断电话,走到同事的桌子旁,看着他的PC名称(每台计算机上都有一个贴纸),然后回到我的办公桌上,并hello在他的桌面上放了一个文件。

我的工作计算机上没有任何私人物品,但是肯定存在安全隐患。并不是来自我所在的团队,而是来自我不认识的网络(和域)上数百名其他员工。我会讲一些实用的笑话,但是如果有人对我(或名字或计算机名称相似的人)怀有不满的仇恨,并向我的老板在项目中添加了讨厌的语言怎么办?

这是Windows域工作方式的继承部分吗?有什么措施可以使我的盒子更加安全吗?请记住,我确实具有该盒子的管理员权限,但是就网络或域而言,我无法进行任何更改。即使只是解释发生了什么也将是一个很大的帮助,因为这违背了我所知道的关于计算机系统的“相当基础”的所有内容。我对Linux更加熟悉,所以Windows World对我来说有点陌生。

跟进

在工作中表达了我对此的担忧。有人告诉我:“没人知道drive $的事,所以没有什么可担心的。” 遵循Darth的解决方案,并添加了该注册表项。现在,我将等待,看看是否有人收到警报。


6
真是疯了。必须有一种简单的方法来禁用它。
James T Snell

6
这不是完全疯狂。这是窗户的设计方式,这是有充分理由的。请在下面查看我的进一步答案。
music2myear11年

13
不,您的问题至少没有什么奇怪的,并且鉴于您自己的非专业性,您在描述该问题方面做得很好。您观察和周到,这是我什至希望我的用户的十分之一。
音乐2

4
+1是因为您的顾虑是合理和合理的。
兰道夫·理查森

2
哦,哇,那真令人不安。要使您的请求更加紧急,请注意,这可能也适用于人力资源使用的工作站。我不认为这是公司不希望任意雇员能够阅读的东西(更少的修改!)
Tim Post

Answers:


38

您所看到的是Administrative Shares在每台Windows计算机上为所有不可移动驱动器启用的功能之一\\computername\driveletter$。但是,只有本地Administrators组中的某个人才能访问它(听起来像Domain Administrators或Domain Users组已添加到本地Administrators组中)。

生活中一个可悲的事实是,您不能真正地完全禁用它们而又不会丢失其他东西(例如,可以禁用文件共享,但是之后就无法共享文件...)。由于它们是隐藏的共享(如$末尾的所示),因此在浏览时无法查看它们\\computername,但是如果您net share在命令提示符下键入,它们将显示出来。

如果Support Guy愿意听一听,则禁用它们不是您的第一个行动-请他限制普通用户在网络计算机上的权限,以使他们不会互相干扰,或查看他是否将用户配置文件和文档移至服务器文件共享(更好,但涉及更多的解决方案)。

如果他不能解决或不能解决此问题,可以通过键入暂时禁用它们net share c$ /delete,但Windows将在每次重新引导计算机时重新创建它们。您可能可以将这些命令粘贴到在启动时运行的批处理文件中。

如果您确实希望保护计算机的安全,则还可以调用隐藏共享,admin$并且IPC$这些共享都可能向网络上的某人泄露有关计算机及其文件的大量信息,您可以禁用这些信息。

正如其他答案所指出的那样,可能有一些程序依赖于这些共享的可用性,如果Support Guy试图使用管理共享之一来帮助您维护系统并且无法访问它,这可能会引起他的注意。

编辑:

看来您可以使用以下注册表项禁用根分区共享(c$d$等)(如果不存在,请创建它):

蜂巢:HKEY_LOCAL_MACHINE
密钥:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
名称:AutoShareWks
数据类型:REG_DWORD
值:0

但是,这不会禁用IPC$共享。


1
+1-我打算在您的编辑中添加信息,但您击败了我。;)
Ƭᴇcʜιᴇ0072011年

14
删除管理共享绝不是一个好的开始选择。它们存在是有原因的,并且具有适当安全性的环境不会因此受到任何安全问题。必须首先处理帐户特权。
music2myear11年

1
@ music2myear他说他对网络或域策略没有控制权,所以我认为帐户特权不在选项表中。此外,如果他在本地修复此问题(例如,通过从本地Administrators组中删除Domain Administrators),则与禁用共享具有相同的效果(所说的效果是出于安装软件或从网络访问共享的目的)。等等。
达斯Android的

1
与设计问题相比,这更多的是政策问题。例如,在我所在的位置这是不可能的。但是,如果您在Active Directory中没有太多经验,那么我可以看到他们如何将其设置为任何人都可以执行此操作的地方。。。
surfasb

1
大多数用户没有(或者不应该)控制网络或域策略。但是,与适当的管理人员或IT人员一起进行的一两个问题或疑问可以帮助开始对IT安全策略进行适当且可能必要的审查。
音乐2

16

您的用户帐户可能在网络上的所有PC上都设置为管理员。可能有多种原因,其中大多数不是最好的。

域中的每台计算机都有与所谓的“管理共享”共享的驱动器。此份额始终是驱动器号,后跟$。如您所见:C $。该帐户始终是该计算机上的管理员的所有用户都可以使用。有充分的理由。大多数修补程序都使用此功能,许多安全程序也是如此。另外,像我这样的SupportGuys可以使用它来与计算机之间进行文件修复,诊断,故障排除和用户帮助,仅举几例。

通常,除非您确定网络上没有任何需要的管理程序,否则通常不希望删除它。例如:SupportGuy可能需要使用此共享将关键更新部署到您的计算机。

当网络上的所有常规用户帐户都以管理员身份出现时,会发生此问题。这就是问题所在,这就是您办公室应该解决的问题。您应该是用户还是超级用户,具体取决于必要的权限。针对实际需要管理员权限的人员,提供了特殊情况。

更新解决其他问题:强烈建议您不要禁用管理共享,除非您真的知道没有系统需要它。第一个行动方案应该是找出您的帐户为何具有域管理员权限,以及这是否确实必要。这样做可以解决整个网络中的安全问题,而不仅仅是您在这里发现的一个小症状问题。如果没有正当理由要您拥有域管理员权限,并且如果您考虑实际删除管理共享,则SupportGuy不愿删除所述权限。


5
重新管理员权限:仅当用户是目标计算机上的Domain Admin或本地Administrator时,才会发生。如果用户是他自己的 PC 上的本地管理员,但没有其他人是本地管理员,则不会发生这种情况。
grawity 2011年

3
他可能不是整个网络的管理员。通常,在设置计算机时,某些管理员会将“域用户”组添加到本地管理员组中,以便任何人,位于现场的人,可以安装东西等。如果在每台计算机上执行此操作,则可以在任何地方成为管理员,但服务器。
KCotreau

这就是为什么我使用较少的技术用语“您的用户帐户可能已设置为网络上的管理员”的原因。本来可以用更明确的措词来表达,但是对于具有这种能力和专门知识的人来说,我认为这是适当的。
music2myear11年

1
这种情况听起来比我想象的还要可怕。我并不是很想搅动锅具,但是我将在周一将其介绍给支持人员或网络管理员。我真的不能让它滑下来。
乔什·约翰逊

11

C $是管理份额。您可能不应该禁用它,因为它可能会破坏事情。

真正的安全问题是,这听起来像是他们让每台计算机上的所有人成为管理员(也许是通过将域用户添加到本地管理员组中)来实现的。

在某些方面这不是问题,因为就我个人而言,我不认为任何东西都应该首先存储在本地,并且“我的文档”应该重定向到服务器上的个人映射驱动器,而它们不会除非出现更大的安全隐患,否则将无法访问。


+1为映射的“我的文档”。我正在考虑在我的办公室这样做,以增强安全性。已经在我的计算机上运行它,它就像一个魅力。
music2myear11年

优秀积分(+1)。我发现让用户在其本地计算机上成为管理员确实可以避免软件无法正常运行或安装(或更新)的许多问题-通常不授予管理员权限,而是授予所有计算机权限更麻烦在网络上似乎没有必要。
兰道夫·理查森

2

众所周知,driveletter $是Windows生活中的事实。

但是,为什么您是同事桌面上的管理员?并且..我会确认他是您桌面计算机上的管理员吗?这是这里的真正问题。

即使您要删除管理员共享,也不会阻止人们登录到您的桌面并访问您的文件,因为他们是计算机的管理员。共享只是绕过登录的一种便捷方法。

由于您是计算机上的管理员,因此我来看看admin组,明确添加自己,然后删除可能存在的域用户组。


1
这是更大的危险。我想这不是很明显,但是建议禁用管理员共享的人却错过了大局。还有谁拥有管理员权限?考虑到您在公司中的角色不是唯一的,这会让我更加恐惧。如果您自己具有网络范围的管理员权限,还有谁????
surfasb

1

右键单击“计算机”(“开始”菜单)

选择“管理”

展开“共享文件夹”

点击“分享”

在右窗格中,您将看到该PC上的所有共享,任何带有$的共享都是隐藏的共享,您可以右键单击C $并选择“停止共享”

根据Darth的建议,共享将在重新启动后重新创建。

您可以在注册表中禁用它,但是我认为您的公司不希望这样做。

您也可以在Windows防火墙中禁用文件共享,但这会杀死所有文件共享。


并且它将向您发出警告“此共享仅是出于管理目的而创建。在停止并重新启动Server服务或重新启动计算机后,该共享将重新出现。确定要停止共享C $吗?”
Ƭᴇcʜιᴇ007

0

有关管理共享Wikipedia页面应回答您的问题。基本上,为了访问这些共享,您的帐户直接或间接(最有可能)是所有计算机上本地管理组的一部分。

查看您所在的组的一种方法是通过命令行运行:gpresult /R。如果所有用户都具有对所有计算机的本地管理员访问权限,则您个人的IT部门听起来无能为力。话虽如此,我觉得您仍然不应该调整内容,但这是我会做的:

  • 打开计算机管理(右键单击计算机,进行管理)
  • 在左侧选择:系统工具\本地用户和组\组
  • 双击Administrators组。

群组中成员或群组中的每个人Administrators都可以访问您的管理共享。我要做的第一件事是直接添加您的帐户(如果它还不存在),如果您开始玩得很开心的话,它会成为故障保护...现在,您可以通过删除您不想拥有的用户/组来破坏事情访问。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.