Quản trị viên xem TẤT CẢ các ổ đĩa được ánh xạ

11

Theo hiểu biết của tôi về bảo mật, quản trị viên sẽ có thể xem tất cả các kết nối đến và từ máy tính - giống như họ có thể xem tất cả các quy trình / chủ sở hữu, kết nối mạng / quy trình sở hữu. Tuy nhiên, Windows 8 dường như đã vô hiệu hóa điều này.

Khi quản trị viên chạy nâng cao trong Win Vista + khi bạn chạy, net usebạn sẽ lấy lại tất cả các ổ đĩa được ánh xạ, được liệt kê là không khả dụng. Trong Windows 8, lệnh tương tự chạy từ dấu nhắc nâng cao trả về "Không có mục nào trong danh sách". Các hành vi là giống hệt nhau cho powershell Get-WmiObject Win32_LogonSessionMappedDisk.

Một cách giải quyết cho ánh xạ liên tục là chạy Get-ChildItem Registry::HKU*\Network*. Điều này không bao gồm ánh xạ tạm thời (trong ví dụ cụ thể của tôi, nó được tạo thông qua trình thám hiểm trên tài khoản quản trị viên và tôi đã không chọn "Kết nối lại khi đăng nhập")

Có cách nào trực tiếp / đơn giản để Quản trị viên xem các kết nối của bất kỳ người dùng nào không (thiếu đoạn script chạy dưới mỗi ngữ cảnh người dùng)? Tôi đã đọc một số chương trình không thể truy cập các vị trí mạng khi UAC được bật nhưng tôi không nghĩ nó đặc biệt áp dụng.

Tôi đã thấy câu trả lời này, nhưng nó vẫn không giải quyết được các ổ đĩa không liên tục. Làm thế nào tôi có thể biết những ổ đĩa mà người dùng đã ánh xạ?

command-line-interface  windows-8  uac  mappeddrive  forensics 
kskid19
nguồn
Powershell Cmdlet có Get-SmbMappinggiúp gì không?
Ryan Ries
Không, kết quả tương tự. Tôi cũng đã thử nghiệm nó trên Win7 tối qua (phiên bản sai của powershell) và nó cho kết quả tương tự khi bạn nhận được lời nhắc nâng cao thông qua người dùng chuẩn.
kskid19
Một lệnh có đầu ra dài dòng hơn là wmic netuse. Bạn có thể muốn ghi nó vào một tệp và mở nó dưới dạng các giá trị được phân tách bằng tab.
Jason
Từ góc độ bảo mật, một danh sách các ánh xạ là vô ích. Rốt cuộc, người ta có thể truy cập trực tiếp các cổ phiếu này thông qua đường dẫn UNC mà không cần ánh xạ chúng.
RomanSt

Câu trả lời:

4

Trên Windows 7, nếu UAC được bật và bạn mở Command Prompt với "Run as Administrator", bạn cũng sẽ không thấy các ổ đĩa được ánh xạ. Trên Windows 8, bạn sẽ nhận thấy rằng ngay cả khi UAC bị tắt, bạn vẫn phải "Chạy với tư cách quản trị viên".

Lý do tại sao Quản trị viên không thấy các ổ đĩa được ánh xạ được giải thích trong bài viết Technet mà bạn đã liên kết . Tóm lại, bạn đang chạy chỉ với mã thông báo Quản trị viên và các ổ đĩa được ánh xạ được cấp cho mã thông báo người dùng Chuẩn. Windows 7 bị tắt UAC chạy Command Prompt với cả hai mã thông báo.

Độ phân giải trong bài viết đó cũng hoạt động với Windows 8. Điều hướng đến HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, tạo giá trị DWORD của EnableLinkedConnections , đặt thành 1 và khởi động lại.

Lệnh quản trị viên nhắc nhở

Jason
nguồn
Địa chỉ này xem các ổ đĩa nếu bạn là quản trị viên trên hệ thống và người dùng cùng một lúc. Còn việc xem các kết nối không liên tục của bất kỳ người dùng nào trên hệ thống / mạng thì sao? (Đó là lý do tại sao tôi hỏi ở đây thay vì siêu người dùng)
kskid19
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.