مدخلالوصول الإداري إلى محركات الأقراص المحلية. الوصول الإداري عن بعد إلى Windows
في مواجهة حقيقة أنه لا يمكن الاتصال عن بعد بالكرات الإدارية الافتراضية (التي تكون بالدولار) على جهاز كمبيوتر يعمل بنظام Windows 10 تحت مستخدم عضو في مجموعة المسؤولين المحليين. علاوة على ذلك ، تحت حساب المسؤول المحلي المدمج () يعمل هذا الوصول.
مزيد من التفاصيل حول شكل المشكلة. أحاول الوصول إلى الموارد الإدارية المضمنة من كمبيوتر بعيد كمبيوتر يعمل بنظام Windows 10 تتكون من فريق العمل(مع تعطيل جدار الحماية) بهذه الطريقة:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ المسؤول $
في نافذة التفويض ، أدخل اسم وكلمة مرور حساب موجود في مجموعة محلية مسؤولي Windows 10 ، مما يؤدي إلى حدوث خطأ في الوصول (تم رفض الوصول). في الوقت نفسه ، يعمل الوصول إلى أدلة الشبكة المشتركة والطابعات على نظام التشغيل Windows 10 بشكل جيد. يعمل أيضًا الوصول إلى الموارد الإدارية ضمن حساب المسؤول المضمن. إذا تم تضمين هذا الكمبيوتر في المجال الدليل النشط، ثم ضمن حسابات المجال مع حقوق المسؤول ، لا يتم حظر الوصول إلى كرات المسؤول أيضًا.
تكمن النقطة في جانب آخر من جوانب السياسة الأمنية التي ظهرت في UAC - ما يسمى ب التحكم في حساب المستخدم عن بعد(التحكم في حساب المستخدم للاتصالات عن بُعد) ، الذي يقوم بتصفية رموز الوصول للحسابات المحلية وحسابات Microsoft ، مما يحظر الوصول الإداري عن بُعد إلى هذه الحسابات. عند الوصول إلى حساب المجال ، لا يتم فرض مثل هذا القيد.
يمكنك تعطيل التحكم بحساب المستخدم عن بُعد عن طريق إنشاء ملفات بتنسيق سجل النظاممعامل
النصيحة... هذه العملية تقلل قليلاً من مستوى أمان النظام.
ملحوظة... يمكنك إنشاء المفتاح المحدد بأمر واحد فقط
reg أضافه "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
بمجرد التنزيل ، حاول فتح الدليل الإداري C $ عن بُعد على جهاز الكمبيوتر الذي يعمل بنظام Windows 10. قم بتسجيل الدخول باستخدام حساب عضو في مجموعة المسؤولين المحليين. يجب أن تفتح نافذة مستكشف تحتوي على محتويات محرك الأقراص C: \.
ملحوظة... ستتوفر وظائف أخرى لجهاز التحكم عن بعد. إدارة النوافذ 10 ، بما في ذلك الآن يمكنك الاتصال عن بعد بجهاز كمبيوتر باستخدام الخاطف إدارة الكمبيوتر(التحكم بالكمبيوتر).
لذلك ، اكتشفنا كيفية استخدام المعلمة LocalAccountTokenFilterPolicy للسماح الوصول عن بعدلموارد المسؤول المخفية لجميع المسؤولين المحليين لجهاز الكمبيوتر الذي يعمل بنظام Windows. هذه التعليماتينطبق أيضًا على Windows 8.x و 7 و Vista.
من الجيد أن تشعر بذلك في عالم يجب أن تقلق بشأنه باستمرار برامج التجسسومحاولات التصيد والقرصنة الشبكات اللاسلكية، هناك شيء دائم - كما في السابق ، يفتح Windows نفسه الباب وديًا أمام كل هذه التهديدات. أنت مسرور جدًا لأنك تفقد أعصابك بمجرد التفكير في الأمر.
اتضح أن كل Windows 7 لديه ممر سري يمكن لأي شخص من خلاله الوصول إلى أي ملف على جهاز الكمبيوتر الخاص بك ؛ توجد مشكلة عدم الحصانة هذه أيضًا في أنظمة التشغيل Windows 2000 و XP و Vista.
بشكل افتراضي ، تتم مشاركة محركات الأقراص الثابتة على جهاز الكمبيوتر الخاص بك. تقرأ ذلك بشكل صحيح ، يمكن الوصول إلى جميع محركات الأقراص الثابتة من الخارج. ومما زاد الطين بلة ، أن هذه الاتصالات مخفية ، مما يعني أن محركات الأقراص لا تظهر في مجلد الشبكة في مستكشف Windows ، وبالتالي ليس لدى معظم المستخدمين أي فكرة عن نوع التهديد الذي تتعرض له بياناتهم.
لإخفاء أي مجلد مشترك ، أضف $ إلى اسم المشاركة عند إنشائها - على سبيل المثال ، أجهزة سطح المكتب. الآن ، للوصول إلى هذا المجلد ، اكتب شريط العنوانمستكشف Windows إلى مسار UNC الخاص به واضغط على Enter.
يمكنك التحقق من جهاز الكمبيوتر الخاص بك: افتح مستكشف Windowsوأدخل اسم الكمبيوتر الخاص بك في شريط العناوين متبوعًا باسم المشاركة الإدارية لمحرك الأقراص C: على سبيل المثال:
\\ your_computer \ مع $ واضغط على Enter. إذا فتحت محتويات الثابتالقرص ، فهذا يعني أن الوصول الإداري إلى الموارد المشتركة مسموح به على جهاز الكمبيوتر الخاص بك.
لسوء الحظ ، لا يكفي تعطيل الوصول إلى القرص البعيد لتعطيل المشاركات الإدارية. من الضروري تعطيل الآلية التي تحلها تلقائيًا في كل مرة يتم فيها تشغيل الكمبيوتر. قم بما يلي:
1. افتح محرر التسجيل.
2. قم بتوسيع فرع HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parameters.
3. انقر نقرًا مزدوجًا فوق معلمة AutoShareServer في الجزء الأيسر ، وأدخل 0 في حقل القيمة وانقر فوق "موافق". إنشاء معلمة DWORD).)
4. الآن انقر نقرًا مزدوجًا فوق معلمة AutoShareWks ، وأدخل 0 في حقل القيمة وانقر فوق موافق.
5. أغلق محرر التسجيل.
6. افتح قائمة ابدأ ، واكتب coirpmgmt.msc في مربع البحث واضغط على Enter. تفتح أداة إدارة الكمبيوتر. يمكن فتحه أيضًا عن طريق النقر بزر الماوس الأيمن فوق "الكمبيوتر" في قائمة "ابدأ" واختيار "إدارة".
7. في الجزء الأيمن ، قم بتوسيع الأدوات المساعدة ، ثم المشاركات وانقر فوق مجلد المشاركات.
قائمة الكل الملفات المشتركةعلى الكمبيوتر بغض النظر عما إذا كانت مخفية أم لا. حتى لو كنت لا تهتم بالمشكلة الإدارية. لحذف مشاركة ، استخدم الأمر net use / delete Resource ، حيث يكون المورد هو اسم المشاركة.
8. لحذف المشاركات الإدارية يدويًا ، انقر بزر الماوس الأيمن فوق كل منها وفي قائمة السياقحدد إيقاف المشاركة. أجب بنعم في كلا نافذتي الاستعلام.
يمكن حذف أي مشاركات مخفية هنا ، باستثناء الثلاثة التالية:
1PC $ ، وهو اختصار لـ Inter-Process Communication. تستخدم هذه المشاركة للتحكم عن بعد في الكمبيوتر. لقد ثبت أنه من الممكن اختراق جهاز كمبيوتر من خلال مشاركة 1PC $ ، ولكن الطريقة الوحيدة لتعطيله هي حظر الوصول المشترك إلى أي ملفات بشكل دائم. يمكنك إيقاف مشاركة مورد 1PC $ مؤقتًا - سيستمر Windows في إعادة إنشاء الاتصال في المرة التالية التي يبدأ فيها ؛
مطبعة. تُستخدم هذه المشاركة لتبادل ملفات برنامج تشغيل الطابعة في بيئة توجد بها طابعة مشتركة. بينما من الناحية النظرية يمكن استخدام هذا المجلد المشترك أيضًا لأغراض ضارة ، فمن الأفضل عدم تعطيله إذا كان لديك طابعة مشتركة متصلة بجهاز الكمبيوتر الخاص بك ؛
wwwroot $. يتم سرد هذه المشاركة عندما يكون لدى الكمبيوتر البرمجيات مايكروسوفت إنترنتخادم المعلومات. لا تقم بتغييره إذا تم استخدام جهاز الكمبيوتر الخاص بك كخادم ويب أو نظام أساسي لتطوير برامج الشبكة.
9. عند الانتهاء ، أعد تشغيل Windows. افتح الأداة المساعدة لإدارة الكمبيوتر مرة أخرى للتأكد من أن المشاركات الإدارية لم ترتفع من تحت الرماد.
بعض المسؤولين لا يوافقون على هذا النهج. بعد كل شيء ، تم إجراء مشاركات إدارية مخفية لسبب ما. إنها تسمح لمسؤولي الشبكة بتثبيت البرامج وإجراء إلغاء تجزئة القرص والوصول إلى السجل والقيام بأنشطة صيانة الكمبيوتر الأخرى عن بُعد. ومع ذلك ، اسأل نفسك ، كم مرة تفعل هذا؟
الموارد الإدارية المشتركة هي أيضا وظائف مطلوبة الإصدارات السابقة... قم بإيقاف تشغيل الوصول الإداري للمجتمع ، وسيتم مسح علامة التبويب الإصدارات السابقة في نافذة الخصائص لأي ملف. بعد ذلك ، سأوضح لك كيفية سد فجوة الأمان مع الاحتفاظ بالقدرة على الوصول إلى الإصدارات السابقة.
إذا كنت لا تزال مترددًا ، تذكر ذلك كلمات مرور Windowsيمكن كسرها بعدة طرق. هل المشكلة الآن واضحة؟ إذا لم يكن جهاز الكمبيوتر الخاص بك جزءًا من شبكة شركة ولم تستخدمه أبدًا جهاز التحكمإذن ، إذا تركت الثغرة مفتوحة ، فلن تكسب شيئًا - لكن يمكنك أن تفقد كل شيء.
من الجيد أن تشعر أنه "في عالم يسوده القلق المستمر بشأن برامج التجسس والتصيد الاحتيالي ومحاولات القرصنة اللاسلكية ، هناك شيء ثابت - كما كان من قبل ، يفتح Windows نفسه الأبواب أمام كل هذه التهديدات بطريقة ودية. أنت مسرور جدًا لأنك تفقد أعصابك بمجرد التفكير في الأمر.
اتضح أن كل Windows 7 لديه ممر سري يمكن لأي شخص من خلاله الوصول إلى أي ملف على جهاز الكمبيوتر الخاص بك ؛ توجد مشكلة عدم الحصانة هذه أيضًا في أنظمة التشغيل Windows 2000 و XP و Vista.
بشكل افتراضي ، تتم مشاركة محركات الأقراص الثابتة على جهاز الكمبيوتر الخاص بك. تقرأ ذلك بشكل صحيح ، يمكن الوصول إلى جميع محركات الأقراص الثابتة من الخارج.
ومما زاد الطين بلة ، أن هذه الاتصالات مخفية ، مما يعني أن محركات الأقراص لا تظهر في مجلد الشبكة في مستكشف Windows ، لذلك لا يعرف معظم المستخدمين حتى نوع التهديد الذي تتعرض له بياناتهم.
لإخفاء أي مجلد مشترك ، أضف $ إلى اسم المشاركة - على سبيل المثال ، Desktop $. الآن ، للوصول إلى هذا المجلد ، أدخل مسار UNC الخاص به في شريط العنوان الخاص بـ Window s Explorer (على سبيل المثال ، \\ Xander \ Desktop $) واضغط على Enter.
يمكنك التحقق من جهاز الكمبيوتر الخاص بك: افتح مستكشف Windows (الأفضل من ذلك ، افتح مستكشف Windows على جهاز كمبيوتر آخر على الشبكة) وأدخل اسم جهاز الكمبيوتر الخاص بك في شريط العناوين ، متبوعًا باسم المشاركة الإدارية لمحرك الأقراص C: على سبيل المثال:
\\ your_computer \ s $
واضغط على Enter. إذا تم فتح المحتوى القرص الصلبهذا يعني أن الوصول الإداري إلى الموارد المشتركة مسموح به على جهاز الكمبيوتر الخاص بك. (يمكن عرض قائمة بجميع المجلدات المشتركة - المخفية والمفتوحة - باستخدام الأداة المساعدة لإدارة الكمبيوتر ، والتي ستتم مناقشتها لاحقًا.)
من المفترض أن الإعدادات لـ Windows الافتراضي 7 معاذ الوصول إلى الشبكةإلى المشاركات الإدارية. إذا كنت قادرًا على عرض محتويات $ share من جهاز الكمبيوتر الخاص بك ، ولكن ليس من الآخرين ، فحينئذٍ "لا شيء يهدد جهاز الكمبيوتر الخاص بك من وجهة النظر هذه. ولكن لا تتفاجأ إذا رأيت محتويات محرك الأقراص C: محرك أقراص آخر كمبيوتر على الشبكة تقول مايكروسوفت انها اغلقت هذه الحفرة لكن الممارسة تثبت عكس ذلك. أجهزة الكمبيوتر البعيدة، في القسم الفرعي التالي.
لسوء الحظ ، لا يكفي تعطيل الوصول إلى القرص البعيد لتعطيل المشاركات الإدارية. من الضروري تعطيل الآلية التي تحلها تلقائيًا في كل مرة يتم فيها تشغيل الكمبيوتر. قم بما يلي:
1. افتح محرر التسجيل (انظر الفصل 3).
2. قم بتوسيع فرع HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parameters.
4. الآن انقر نقرًا مزدوجًا فوق معلمة AutoShareWks ، وأدخل 0 في حقل بيانات القيمة وانقر فوق موافق. (مرة أخرى ، إذا لم يكن هناك مثل هذا المعامل ، فقم بإنشائه بنفس الأمر.)
5. أغلق محرر التسجيل.
6. افتح قائمة ابدأ ، واكتب compmgmt.msc في مربع البحث واضغط على Enter. تفتح أداة إدارة الكمبيوتر. يمكن فتحه أيضًا عن طريق النقر بزر الماوس الأيمن فوق "الكمبيوتر" في قائمة "ابدأ" واختيار "إدارة".
7. في الجزء الأيمن ، قم بتوسيع أدوات النظام ، ثم المجلدات المشتركة ، وانقر فوق مجلد المشاركات.
يتم عرض قائمة بجميع المجلدات المشتركة على الكمبيوتر هنا ، سواء كانت مخفية أم لا. حتى لو كنت لا تهتم بالمشكلة الإدارية الموارد المشتركة، هذه الأداة مفيدة لتتبع الاتصالات الحالية. بالمناسبة ، يمكن أيضًا عرض قائمة الموارد المشتركة بتنسيق سطر الأوامرعن طريق تشغيل الأمر net view / all Wlocalhost. لحذف مشاركة ، استخدم الأمر net use / delete Resource ، حيث يكون المورد هو اسم المشاركة.
8. لحذف المشاركات الإدارية يدويًا ، انقر بزر الماوس الأيمن فوق كل منها (C $ ، D $ ، E $ ، إلخ) وحدد إيقاف المشاركة من قائمة السياق. أجب بنعم في كلا المطالبتين.
يمكن حذف أي مشاركات مخفية (أي أي شيء ينتهي بعلامة الدولار) هنا ، باستثناء الثلاثة التالية:
قلة قليلة من الناس بحاجة إليه). لقد ثبت أنه من الممكن اختراق جهاز كمبيوتر من خلال مشاركة 1PC $ ، ولكن الطريقة الوحيدة لتعطيله هي حظر الوصول المشترك إلى أي ملفات بشكل دائم. يمكنك إيقاف مشاركة مورد 1PC مؤقتًا. $ -Windows سيستمر في إعادة إنشاء الاتصال في المرة التالية التي تبدأ فيها ؛
تستخدم لأغراض ضارة ، فمن الأفضل عدم تعطيلها إذا كانت طابعة مشتركة متصلة بجهاز الكمبيوتر الخاص بك ؛
يستخدم p كخادم ويب أو نظام أساسي لتطوير برامج الشبكة.
9. عند الانتهاء ، أعد تشغيل Windows. افتح الأداة المساعدة لإدارة الكمبيوتر مرة أخرى للتأكد من أن المشاركات الإدارية لم ترتفع من تحت الرماد.
بعض المسؤولين لا يوافقون على هذا النهج. بعد كل شيء ، تم إجراء مشاركات إدارية مخفية لسبب ما. إنها تسمح لمسؤولي الشبكة بتثبيت البرامج وإجراء إلغاء تجزئة القرص والوصول إلى السجل والقيام بأنشطة صيانة الكمبيوتر الأخرى عن بُعد. ومع ذلك ، اسأل نفسك ، كم مرة تفعل هذا؟
المشاركات الإدارية مطلوبة أيضًا لميزة الإصدارات السابقة (تمت مناقشتها في السابق في الماضي - استخدام نقاط الاستعادة و نسخ الظل"). قم بإيقاف تشغيل الوصول الإداري للمجتمع ، وسيتم مسح علامة التبويب الإصدارات السابقة في نافذة الخصائص لأي ملف. بعد ذلك ، سأوضح لك كيفية سد فجوة الأمان مع الاحتفاظ بالقدرة على الوصول إلى الإصدارات السابقة.
من مهام إدارة النظام على شبكة الشركة التحكم في الوصول. على وجه الخصوص ، يجب تنظيم الوصول إلى أجهزة الكمبيوتر مع حقوق المسؤول بشكل صارم.
مع مرات Windows 2000 و Windows XP هناك حساب مسؤول محلي مدمج ، مما يخلق الكثير من المشاكل للتحكم في الوصول: كلمة مرور واحدة لمئات أو آلاف أجهزة الكمبيوتر المعروفة للعديد من الأشخاص دون القدرة على تغييرها لسنوات عديدة هي كارثة! يوصى منذ فترة طويلة بإعادة تسمية هذا الحساب أو تعطيله وإنشاء حسابك الخاص. هذا يجعل من الصعب تنفيذ الهجمات باستخدام السجلات الإدارية المحلية ، لكنه لا يستبعد مثل هذه التهديدات.
منذ وقت ليس ببعيد ، كانت هناك أداة لتغيير كلمة مرور حساب المسؤول المحلي بشكل دوري -. يمكن أن تحل العديد من المشاكل ، ولكن ليس كلها. على سبيل المثال ، ماذا لو كان هناك عدة مجموعات من موظفي الخدمة وتفرض سياسة المؤسسة أن لكل مجموعة حساب إداري محلي خاص بها؟
لكن لنعد إلى التهديدات. من الواضح أن وجود الوصول المحليعلى الكمبيوتر ، يمكن للمهاجم اختراق النظام أمن Windows، احصل على حق الوصول إلى ذاكرة التخزين المؤقت لكلمة المرور الخاصة بالمسؤول المحلي (أو حساب إداري آخر) واستخدمها للاتصال بأجهزة الكمبيوتر الأخرى عبر الشبكة.
الطريقة الوحيدة للحظر الاتصال عن بعدإلى جهاز كمبيوتر باستخدام سجل إداري محلي ، وهذا لتحديد معرّف الأمان (SID) للحساب في نهج "رفض الوصول إلى هذا الكمبيوتر من الشبكة" (وربما "رفض تسجيل الدخول من خلال خدمات سطح المكتب البعيد"). إذا كان هناك العديد من هذه الحسابات ، فسيتعين عليك إدراجها جميعًا في نهج المجموعة. وهذا بالفعل عامل بشري ، وهناك احتمال أن تكون هناك أخطاء في التكوين.
والخبر السار هو أن تبدأ بـ إصدارات Windows 8.1 / 2012 R2 ، تم تنفيذه فرصة جديدة: لا تحتاج إلى قائمة محلية حسابات، والإشارة إلى SID المشترك لكل منهم. هناك نوعان من معرّفات الأمان (SID): "كافة الحسابات المحلية" و "كافة حسابات الإدارة المحلية":
S-1-5-113: NT AUTHORITY \ حساب محلي
S-1-5-114: NT AUTHORITY \ حساب محلي وعضو في مجموعة المسؤولين
والخبر السار هو أنه تم نقل هذه الميزة إلى Windows 7/8/2008 R2 / 2012 (KB 2871997).
وتجدر الإشارة إلى أن هناك طريقة أخرى بسيطة للحماية الجزئية ضد التهديد المدروس - جدار الحماية. هناك نقطتان
- باستخدام سياسات المجموعةيمكنك تحديد العناوين أو الشبكات التي يمكنك من خلالها إجراء اتصال عن بعد بواجهات التحكم في الكمبيوتر. كقاعدة عامة ، تنص السياسة الأمنية للمؤسسة على أن أجهزة الكمبيوتر الخاصة بالمسؤولين يجب أن تكون موجودة على الأقل في شبكة تحكم خاصة ، أو حتى في عناوين مشفرة.
- بشكل منفصل ، من الضروري الانتباه إلى إذن الاتصال بالكرات الموجودة على حواسيب شخصية... لا يوجد حل عام. لكن عادة ما تكون سياسة المؤسسة في هذا الصدد صارمة - لا توجد كرة مخصصة. إذا كان مسموحًا بذلك ، عندئذٍ فقط الوصول إلى الكرات الإدارية ويجب السماح بذلك فقط للمسؤولين كما هو محدد في البند 1. ولكن إذا كنت تستخدم طابعات مشتركة على أجهزة الكمبيوتر الشخصية ، فإن الطريقة البسيطة الوحيدة للسماح بذلك دون تدمير نظام الأمان هي إضافة إذن (قاعدة) للشبكة المحلية (وإلا فلن يتمكن المستخدمون من توصيل الطابعات المشتركة من دولة مجاورة الحاسوب).
والإضافة الأخيرة. لا تنسى