Mối quan tâm bảo mật với Windows 7 Box của tôi tại nơi làm việc


41

Câu hỏi này có thể kỳ lạ và bị hiểu sai nhưng tôi không phải là chuyên gia Windows vì vậy hãy thoải mái sửa cho tôi.

Nhóm tôi ở gần đây có máy tính mới tại nơi làm việc. Họ đã cho tôi một máy tính mới và kết nối máy tính cũ của tôi với mạng trong một tuần để tôi có thể dành thời gian chuyển các tập tin / cấu hình cần thiết, v.v ... Người hỗ trợ nói: "Chỉ cần đi đến" chạy "và nhập \\PCNAME\c$. Vì vậy, tôi đã làm và, thấp và kìa, có ổ C: cũ của tôi. Tôi tự nghĩ, "Thật là một vấn đề an ninh rất lớn. Tôi sẽ chuyển mọi thứ nhanh chóng và sau đó 'hủy chia sẻ' nó. "

Cuối ngày đã đến và tôi đăng nhập thông qua máy tính để bàn từ xa và nhấp chuột phải vào ổ C. Nhưng nó đã không được chia sẻ. Tôi đã gọi cho Người hỗ trợ và giải thích với anh ta rằng tôi không muốn ổ C của mình có sẵn cho tất cả mọi người trên mạng vào tất cả các ngày cuối tuần. Anh có vẻ bối rối. Anh ta nói, "Nó không thực sự được 'chia sẻ'. Nếu bạn đi đến dấu nhắc lệnh và nhập vào \\ANYPCNAME\c$bạn sẽ nhận được ổ C của họ. Đó chính là nó."

Tôi cúp điện thoại và đi đến bàn của đồng nghiệp và nhìn vào tên PC của anh ấy (có một nhãn dán trên mỗi máy tính) và sau đó quay trở lại bàn của tôi và đặt một hellotập tin trên máy tính để bàn của anh ấy.

Tôi không giữ bất cứ thứ gì cá nhân trên máy tính làm việc của mình nhưng có những lo ngại về bảo mật. Không thực sự từ trong nhóm tôi tham gia mà từ hàng trăm nhân viên khác trên mạng (và tên miền) mà tôi không biết. Tôi ổn với những trò đùa thực tế nhưng điều gì sẽ xảy ra nếu ai đó có ác cảm không rõ với tôi (hoặc ai đó có tên tương tự hoặc tên máy tính) và thêm ngôn ngữ khó chịu chống lại ông chủ của tôi vào các tài liệu là một phần của dự án?

Đây có phải là một phần kế thừa của cách các miền Windows hoạt động không? Có bất kỳ bước nào tôi có thể thực hiện để làm cho hộp của tôi an toàn hơn một chút không? Hãy nhớ rằng tôi có quyền quản trị viên đối với hộp nhưng tôi không thể thay đổi bất cứ điều gì liên quan đến mạng hoặc tên miền. Thậm chí chỉ là một lời giải thích về những gì đang diễn ra sẽ là một trợ giúp lớn vì điều này đi ngược lại mọi thứ mà tôi biết là 'khá cơ bản' về các hệ thống máy tính nói chung. Tôi quen thuộc hơn với Linux nên Windows World hơi xa lạ với tôi.

Theo sát

Nói lên những lo lắng của tôi về điều này tại nơi làm việc. Tôi đã nói, "Không ai biết về ổ đĩa $ nên không có gì phải lo lắng." Theo giải pháp của Darth và thêm khóa đăng ký đó. Bây giờ tôi sẽ chờ xem có ai được cảnh báo không.


6
Đó là hoàn toàn hạt dẻ. Phải có một cách dễ dàng để vô hiệu hóa điều đó.
James T Snell

6
Nó không hoàn toàn là hạt dẻ. Đó là cách các cửa sổ được thiết kế và vì lý do tốt. Xem câu trả lời thêm của tôi dưới đây.
music2myear

13
Và không, câu hỏi của bạn không có gì lạ cả và bạn đã làm một công việc tuyệt vời để mô tả nó bằng sự tự mô tả không chuyên môn của bạn. Bạn là người quan sát và chu đáo, đó là điều tôi mong muốn thậm chí là một trong số 10 người dùng của tôi.
âm nhạc2myear

4
+1 vì mối quan tâm của bạn là hợp lý và hợp lý.
Randolf Richardson

2
Ôi chà, thật là phiền hà. Để thêm khẩn cấp hơn cho yêu cầu của bạn, lưu ý rằng điều này có thể hoạt động trên các máy trạm được sử dụng bởi nguồn nhân lực. Đó là thứ tôi không nghĩ công ty muốn nhân viên độc đoán có thể đọc được (ít sửa đổi hơn nhiều!)
Tim Post

Câu trả lời:


38

Những gì bạn đang thấy là một trong những Administrative Sharesthứ được kích hoạt trên mọi máy Windows cho tất cả các ổ đĩa không thể tháo rời như \\computername\driveletter$. Tuy nhiên, chỉ có thể truy cập được đối với những người thuộc nhóm Quản trị viên cục bộ (có vẻ như nhóm Quản trị viên tên miền hoặc nhóm Người dùng miền đã được thêm vào nhóm Quản trị viên cục bộ).

Một thực tế đáng buồn của cuộc sống là bạn không thể thực sự vô hiệu hóa chúng hoàn toàn mà không mất đi thứ gì khác (ví dụ: bạn có thể vô hiệu hóa chia sẻ tệp, nhưng sau đó bạn không thể chia sẻ tệp ...). Vì chúng là các chia sẻ ẩn (như được biểu thị $ở cuối), bạn không thể xem chúng khi broswing \\computername, nhưng chúng sẽ hiển thị nếu bạn gõ net sharevào dấu nhắc lệnh.

Vô hiệu hóa chúng không nên là hành động đầu tiên của bạn nếu Support Guy sẵn sàng lắng nghe một chút lý do-- Yêu cầu anh ta hạn chế các quyền mà người dùng thông thường có trên máy tính qua mạng để họ không thể gây rối với các tệp của nhau, hoặc xem liệu anh ta sẽ chuyển hồ sơ người dùng và tài liệu sang một tập tin máy chủ (giải pháp tốt hơn, nhưng liên quan nhiều hơn).

Nếu anh ta không thể hoặc sẽ không khắc phục điều này, bạn có thể vô hiệu hóa chúng tạm thời bằng cách nhập net share c$ /delete, nhưng Windows sẽ tạo lại chúng mỗi khi máy tính được khởi động lại. Bạn có thể có thể dính các lệnh này vào một tệp bó chạy khi khởi động.

Nếu bạn thực sự muốn bảo mật máy tính của mình, cũng có các chia sẻ được gọi ẩn admin$IPC$cả hai có thể tiết lộ nhiều thông tin về máy tính của bạn và các tệp đó cho ai đó trên mạng mà bạn có thể vô hiệu hóa.

Như đã chỉ ra trong các câu trả lời khác, có thể có các chương trình phụ thuộc vào các cổ phiếu này có sẵn và điều này có thể thu hút sự chú ý của Support Guy nếu anh ta cố gắng sử dụng một trong các cổ phiếu hành chính để giúp duy trì hệ thống của bạn và không thể truy cập vào nó.

Biên tập:

Dường như bạn có thể vô hiệu hóa chia sẻ phân vùng gốc ( c$, d$v.v.) bằng khóa đăng ký sau (tạo nó nếu nó không tồn tại):

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Tên: AutoShareWks
Kiểu dữ liệu: REG_DWORD
Giá trị:0

Điều này sẽ không vô hiệu hóa IPC$chia sẻ, tuy nhiên.


1
+1 - Tôi sẽ thêm thông tin vào phần chỉnh sửa của bạn, nhưng bạn đã đánh bại tôi với thông tin đó. ;)
Ƭᴇcʜιᴇ007

14
Xóa cổ phiếu hành chính không bao giờ là một lựa chọn khởi đầu tốt. Có nhiều lý do chúng tồn tại và một môi trường được bảo mật đúng cách không gặp phải vấn đề bảo mật nào vì chúng. Đó là đặc quyền tài khoản phải được giải quyết đầu tiên và quan trọng nhất.
music2myear

1
@ music2myear Ông nói rằng ông không kiểm soát chính sách mạng hoặc tên miền, vì vậy tôi cho rằng các đặc quyền tài khoản không nằm trong bảng tùy chọn. Ngoài ra, nếu anh ta sửa lỗi này cục bộ (giả sử bằng cách xóa Quản trị viên tên miền khỏi nhóm Quản trị viên cục bộ), thì điều đó sẽ có tác dụng tương tự như vô hiệu hóa các chia sẻ (cho biết hiệu ứng truy cập vào các chia sẻ từ mạng cho mục đích cài đặt phần mềm hoặc giống như.
Darth Android

1
Đây là một vấn đề chính sách nhiều hơn là một vấn đề thiết kế. Ví dụ, điều này không thể xảy ra ở nơi tôi đang ở. Nhưng nếu bạn không có nhiều kinh nghiệm trong Active Directory, tôi có thể thấy cách họ thiết lập nó ở nơi mọi người có thể làm điều này. . .
Surfasb

1
Hầu hết người dùng không (hoặc không nên) có quyền kiểm soát chính sách mạng hoặc tên miền. Tuy nhiên, một câu hỏi hoặc câu hỏi hoặc hai câu hỏi được đặt với quản lý hoặc nhân viên CNTT phù hợp có thể giúp bắt đầu đánh giá thích hợp và có thể là cần thiết về chính sách bảo mật CNTT.
music2myear

16

Tài khoản người dùng của bạn có thể được đặt làm Quản trị viên trên tất cả các PC trên mạng. Có thể có nhiều lý do cho việc này, hầu hết chúng không phải là tốt nhất.

Mỗi máy tính trên một miền có mỗi ổ đĩa được chia sẻ với những gì được gọi và Chia sẻ quản trị. Chia sẻ này luôn luôn là ký tự ổ đĩa theo sau là $. Như bạn đã thấy: C $. Điều này luôn có sẵn cho tất cả người dùng có tài khoản là quản trị viên trên máy tính đó. Có những lý do chính đáng cho việc này. Hầu hết các chương trình vá sử dụng điều này, cũng như nhiều chương trình bảo mật. Ngoài ra, SupportGuys như tôi sử dụng nó để nhận tệp đến và từ máy tính để sửa chữa, chẩn đoán, khắc phục sự cố và hỗ trợ người dùng, chỉ để đặt tên cho một số.

Nói chung, bạn không muốn xóa chia sẻ quản trị trừ khi bạn chắc chắn không có chương trình cần thiết nào trên mạng yêu cầu. Ví dụ: SupportGuy có thể cần sử dụng chia sẻ này để triển khai các bản cập nhật quan trọng cho máy tính của bạn.

Sự cố xảy ra khi tất cả các tài khoản người dùng thông thường trên mạng là quản trị viên. Đây là vấn đề và đây là những gì nên được giải quyết trong văn phòng của bạn. Bạn nên là người dùng hoặc người dùng quyền lực, tùy thuộc vào các quyền cần thiết. Với các trường hợp đặc biệt được đưa ra cho những người thực sự cần quyền quản trị viên.

CẬP NHẬT Giải quyết các câu trả lời khác: Tôi rất khuyến nghị không nên vô hiệu hóa chia sẻ quản trị trừ khi bạn thực sự biết không có hệ thống nào yêu cầu. Quá trình hành động đầu tiên nên tìm hiểu tại sao tài khoản của bạn có quyền quản trị viên tên miền và nếu điều đó thực sự cần thiết. Làm điều này sẽ khắc phục các sự cố bảo mật trong toàn mạng, không chỉ là một vấn đề nhỏ về triệu chứng bạn đã phát hiện ra ở đây. Nếu không có lý do chính đáng để bạn có quyền quản trị viên tên miền và SupportGuy không sẵn sàng xóa các quyền đã nói thì bạn nên xem xét thực sự xóa chia sẻ quản trị.


5
Quyền quản trị viên: Điều này chỉ xảy ra khi người dùng là Quản trị viên tên miền hoặc Quản trị viên cục bộ trên PC đích . Điều đó không xảy ra khi người dùng là Quản trị viên cục bộ trên PC của chính họ mà không phải ai khác.
grawity

3
Anh ta có thể không phải là một quản trị viên trên mạng nói chung. Thông thường, khi thiết lập máy tính, một số quản trị viên sẽ thêm nhóm Người dùng miền vào nhóm quản trị viên cục bộ để bất kỳ ai, người truy cập trang web đều có thể cài đặt mọi thứ, v.v. Nếu bạn làm điều này trên mọi máy tính, bạn có tác dụng trở thành quản trị viên ở mọi nơi , nhưng các máy chủ.
KCotreau

Đó là lý do tại sao tôi sử dụng ít kỹ thuật hơn "Tài khoản người dùng của bạn có thể được đặt làm Quản trị viên trên mạng". Nó có thể được nói rõ ràng hơn, nhưng đối với một người có khả năng và bí quyết này, tôi cảm thấy điều này thích hợp.
âm nhạc2myear

1
Đây là tình huống nghe có vẻ đáng sợ hơn tôi nghĩ. Tôi thực sự không muốn khuấy nồi nhưng tôi sẽ mang nó đến The Support Guy hoặc quản trị viên mạng vào thứ Hai. Tôi thực sự không thể để nó trượt.
Josh Johnson

11

C $ là cổ phần hành chính. Bạn có thể không nên vô hiệu hóa nó, vì nó có thể phá vỡ mọi thứ.

Vấn đề bảo mật thực sự ở đây là có vẻ như họ đã tạo ra tất cả quản trị viên trên mọi máy (có thể thông qua người dùng tên miền được thêm vào nhóm quản trị viên cục bộ).

Theo một số cách, đây không phải là vấn đề vì cá nhân tôi không tin rằng mọi thứ nên được lưu trữ cục bộ ngay từ đầu và "Tài liệu của tôi" sẽ được chuyển hướng đến ổ đĩa được ánh xạ cá nhân của bạn trên máy chủ, mà chúng sẽ không có quyền truy cập trừ khi có một sai sót bảo mật thậm chí còn lớn hơn.


+1 cho ánh xạ Tài liệu của tôi. Tôi đang xem xét làm điều đó tại văn phòng của tôi như là một tăng cường bảo mật. Đã chạy nó trên máy tính của tôi và nó hoạt động như một bùa mê.
âm nhạc2myear

Điểm xuất sắc (+1). Tôi thấy rằng việc người dùng là Quản trị viên trên máy cục bộ của họ sẽ tránh được nhiều vấn đề với phần mềm không hoạt động hoặc cài đặt (hoặc cập nhật) chính xác - thường gặp nhiều rắc rối hơn khi không cấp quyền Quản trị viên, nhưng cấp cho tất cả các máy trên mạng có vẻ không cần thiết
Randolf Richardson

2

Như mọi người đã nói driveletter $ là một thực tế của cuộc sống cửa sổ.

Nhưng tại sao bạn là quản trị viên trên máy tính để bàn của đồng nghiệp? Và .. tôi sẽ xác nhận anh ấy có phải là quản trị viên trên máy tính để bàn của bạn không? Đây là vấn đề thực sự ở đây.

Ngay cả khi bạn đã xóa chia sẻ của quản trị viên .. không có gì ngăn cản mọi người đăng nhập vào máy tính để bàn của bạn và truy cập các tệp của bạn vì họ là quản trị viên trên máy của bạn. Chia sẻ, chỉ là một cách thuận tiện để bỏ qua đăng nhập.

Vì bạn là quản trị viên trên máy của bạn, tôi sẽ xem xét nhóm quản trị viên, thêm chính mình một cách rõ ràng và sau đó xóa nhóm người dùng tên miền có lẽ ở đó.


1
Đây là mối nguy hiểm lớn hơn. Tôi đoán điều đó là không rõ ràng, nhưng những người đang khuyến nghị vô hiệu hóa chia sẻ của quản trị viên đang bỏ lỡ bức tranh lớn. Ai khác có admin đúng không? Xem xét vai trò của bạn trong công ty không phải là duy nhất, điều này sẽ làm tôi sợ hơn. Nếu bản thân bạn có quyền quản trị mạng rộng thì còn ai nữa ??????
Surfasb

1

Nhấp chuột phải vào "Máy tính" (Menu Bắt đầu)

Chọn "Quản lý"

Mở rộng "Thư mục dùng chung"

nhấp vào "Chia sẻ"

trong khung bên phải, bạn sẽ thấy tất cả các chia sẻ trên PC đó, bất kỳ với $ đều là các chia sẻ ẩn, bạn có thể nhấp chuột phải vào C $ và chọn "dừng chia sẻ"

Theo đề xuất của Darth, chia sẻ sẽ được tạo lại khi khởi động lại.

Bạn có thể vô hiệu hóa nó trong sổ đăng ký nhưng tôi không nghĩ rằng công ty của bạn sẽ đánh giá cao điều này.

Bạn cũng có thể tắt chia sẻ tệp trong Tường lửa Windows, nhưng điều này sẽ giết tất cả các chia sẻ tệp.

.


Và nó sẽ đưa ra cảnh báo "Chia sẻ này được tạo cho mục đích quản trị. Chia sẻ sẽ xuất hiện lại khi dịch vụ Máy chủ bị dừng và khởi động lại hoặc máy tính được khởi động lại. Bạn có chắc chắn muốn ngừng chia sẻ C $?"
Ƭᴇcʜιᴇ007

0

Các trang Wikipedia trên cổ phiếu hành chính nên trả lời câu hỏi của bạn. Về cơ bản để truy cập vào các chia sẻ đó, tài khoản của bạn là một phần trực tiếp hoặc gián tiếp (rất có thể) của nhóm hành chính địa phương trên tất cả các máy tính.

Một cách để xem các nhóm bạn đang tham gia là chạy qua dòng lệnh : gpresult /R. Cá nhân bộ phận CNTT của bạn nghe có vẻ không ổn nếu tất cả người dùng có quyền truy cập quản trị viên cục bộ vào tất cả các máy tính. Nói như vậy tôi cảm thấy như bạn vẫn không nên chỉnh sửa mọi thứ nhưng đây là điều tôi sẽ làm:

  • Mở quản lý máy tính (nhấp chuột phải vào Máy tính, quản lý)
  • Ở bên trái chọn: Công cụ hệ thống \ Người dùng cục bộ và Nhóm \ Nhóm
  • Nhấp đúp chuột vào Administratorsnhóm.

Mọi người là thành viên hoặc thành viên của một nhóm trong Administratorsnhóm sẽ có quyền truy cập vào cổ phiếu hành chính của bạn. Điều đầu tiên tôi sẽ làm là thêm tài khoản của bạn trực tiếp nếu tài khoản đó không an toàn nếu bạn bắt đầu có quá nhiều niềm vui ... Bây giờ bạn có thể phá vỡ mọi thứ bằng cách xóa người dùng / nhóm mà bạn không muốn có truy cập.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.