EntradaAcceso administrativo a discos locales. Acceso administrativo remoto a Windows
Frente que no es posible de forma remota conectarse a defecto bolas administrativos (que con un dólar) en un equipo con Windows 10 bajo el usuario pertenece al grupo de los administradores locales. Además, bajo la cuenta de administrador local integrado (), este acceso está funcionando.
Un poco más sobre cómo se ve el problema. Estoy intentando con una computadora remota se dirigirá a los recursos administrativos incorporados. computadora de Windows 10 que consiste en grupo de trabajo (con un firewall desconectado) Entonces:
- \\\\ win10_pc \\ c $
- \\\\ win10_pc \\ d $
- \\\\ win10_pc \\ ipc $
- \\\\ win10_pc \\ admin $
En la ventana de Autorización, ingreso el nombre de la cuenta y la contraseña que consiste en el grupo local administradores de Windows 10, al que aparece el error de acceso (se denega el acceso). Al mismo tiempo, el acceso a los directorios de redes y impresoras compartidas en Windows 10 está funcionando normalmente. El acceso bajo la cuenta de administrador incorporada a los recursos administrativos también funciona. Si esta computadora está incluida en el dominio de Active Directory, luego en las cuentas de dominio con los derechos de administrador, el acceso a las bolas de administración tampoco está bloqueado.
El caso está en otro aspecto de la política de seguridad que aparece en la UAC, la llamada UAC remoto. (Control de cuentas para las conexiones remotas), que filtra los tokens de acceso de las entradas locales y Microsoft cuentas, bloqueando el acceso administrativo remoto a dichas cuentas. Al acceder a una cuenta de dominio, no se impone tal restricción.
Deshabilite la UAC remota creando en registro del sistema Parámetro
Consejo. Esta operación reduce ligeramente el nivel de seguridad del sistema.
Nota. Crear una clave especificada puede ser solo un comando.
añadir REG "HKLM \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System" / V "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
Después de la descarga, intente abrir remotamente el directorio de catálogo administrativo de C $ en la computadora Windows 10. Inicie sesión en un registro incluido en el grupo de administradores locales. Una ventana del conductor debe abrirse con el contenido del disco C: \\.
Nota. La otra funcionalidad del control remoto. gestión de Windows 10, incluso ahora puede conectarse de forma remota a una computadora usando un SNAP Gestión informática. (Gestión informática).
Entonces, nos ocupamos de cómo usar el parámetro LocalAccountTokenFilterpolyPolicy para permitir acceso remoto A los recursos administrativos ocultos para todos los administradores de computadoras locales de Windows. Esta instrucción Aplicable también a Windows 8.x, 7 y Vista.
Es bueno sentir que en el mundo en el que tiene que preocuparse constantemente. spyware, phishing y intentos de piratería redes inalámbricas, hay algo permanente, como antes, Windows mismo amigable abre las puertas para todas estas amenazas. Eres tan bonito que simplemente salgas de mí con un pensamiento al respecto.
Resulta que cada Windows 7 tiene un pasaje secreto a través del cual cualquier persona puede llegar a cualquier archivo en su computadora; Esta vulnerabilidad también existe en Windows 2000, XP y Vista.
El valor predeterminado de los discos duros en la computadora está abierto acceso general. Todos lo entendieron todo, a todos los discos duros, puede ponerse en contacto con el exterior. Más peor, estas conexiones están ocultos, es decir, los discos no se muestran en la carpeta de red Windows Explorer, y por lo tanto la mayoría de los usuarios ni siquiera sospechoso, que amenaza sus datos están sujetos a.
Para ocultar cualquier carpeta común, al crear un recurso compartido, agregue un símbolo $ a su nombre, por ejemplo, escritorios. Ahora para contactar a esta carpeta, ingrese dirección Windows Explorer su camino UNC y presione ENTER.
Puedes revisar tu computadora: abrir Explorador de Windows e ingrese el nombre de su computadora en la barra de direcciones y luego el nombre del recurso general administrativo para el disco con:, por ejemplo:
\\\\ Your_computer \\ C $ y presione ENTER. Si se abre contenido duro Disco, significa, en su computadora, se permite el acceso administrativo a los recursos compartidos.
Desafortunadamente, para deshabilitar los recursos compartidos administrativos, no lo suficiente como para deshabilitar el acceso remoto a los discos. Debe deshabilitar el mecanismo que lo permita automáticamente cada vez que se enciende la computadora. Hacer lo siguiente:
1. Abra el Editor del Registro.
2. Amplíe la rama HKEY_LOCAL_MACHINE \\ SISTEMA \\ CurrentControlSet \\ Services \\ LANMANSERVER \\ Parámetros.
3. Paquete doble en el parámetro AutosHareserver dos veces, ingrese 0 en el campo Valor y haga clic en Aceptar. Crear un parámetro DWORD).)
4. Ahora haga doble clic en el parámetro AutosHareWKS, ingrese 0 en el campo Valor y haga clic en Aceptar.
5. Cierre el Editor del Registro.
6. Abra el menú Inicio, ingrese el COIRPMGMT.MSC en el campo Buscar y presione ENTER. Se abre la utilidad de administración de computadoras. También se puede abrir haciendo clic con el botón derecho en el elemento de la computadora en el menú Inicio y seleccione Administración.
7. En el panel izquierdo, expanda el elemento del programa de servicio, luego las carpetas compartidas y haga clic en la carpeta de recursos compartidos.
La lista de todos se muestra aquí. carpetas comunes En una computadora, independientemente de si están ocultos o no. Incluso si el problema de la administración no está preocupado. Para eliminar un recurso compartido, se usa el comando NET USE / DESETE, donde el recurso es el nombre del recurso común.
8. Para eliminar manualmente los recursos compartidos administrativos, haga clic en cada uno de ellos, haga clic con el botón derecho y en menú de contexto Seleccione Guardar Compartir. En ambas ventanas de consulta, responda sí.
Aquí puede eliminar cualquier Recursos compartidos ocultos, con la excepción de los siguientes tres:
1RC $, que significa comunicación entre procesos. Este recurso compartido se utiliza para administrar de forma remota la computadora. Se demuestra que la ruptura de una computadora a través de un recurso total de 1 trace $ es posible, sin embargo, la única forma de deshabilitarlo es para siempre prohibir el acceso común a cualquier archivo. Puede detener temporalmente el acceso total al recurso de $ 1-Windows: Windows aún recreamos la conexión cuando comienza el siguiente;
Impresión. Este recurso compartido se utiliza para intercambiar los archivos del controlador de la impresora rodeados donde hay una impresora compartida. Aunque en teoría, esta carpeta común también se puede usar en fines maliciosos, es mejor no apagarlo si una impresora común está conectada a su computadora;
wwwroot $. Este recurso compartido está presente en la lista cuando se instala la computadora software Microsoft Internet Servidor de información. Él lo cambia si su computadora se usa como un servidor web o una plataforma de desarrollo de software de red.
9. Cuando termine, reinicie Windows. Abra la utilidad de administración de computadoras para asegurarse de que los recursos compartidos administrativos no se hayan rebelado de las cenizas.
Algunos administradores no aprueban tal enfoque. Al final, los recursos compartidos administrativos ocultos se inventan no solo así. Permiten que los administradores de red instalen programas, realice la desfragmentación del disco, consulte el Registro y realice remotamente las actividades de mantenimiento de otras computadoras. Sin embargo, pregúntese, ¿a menudo lo haces?
Los recursos compartidos administrativos también necesitan funciones. Versión anterior. Deshabilite el acceso a las comunidades administrativas, y se limpiará la pestaña Versiones anteriores en la ventana Propiedades de cualquier archivo. Además, le diré cómo apagar el agujero en seguridad, ahorrando la capacidad de acceder a las versiones anteriores.
Si todavía lo dudes, recuerda que contraseñas de Windows Se puede romper por una variedad de formas. ¿Es el problema ahora obvio? Si su computadora no está incluida en la red corporativa, y nunca recurre a control remotoEntonces, dejando la laguna abierta, no adquiere nada, puedes perder todo.
Es agradable sentir "que en el mundo en el que constantemente tienen que preocuparse de spyware, phishing y los intentos de piratear redes inalámbricas, hay algo constante - como antes, el propio Windows amigable abre las puertas a todas estas amenazas. Eres tan bonito que simplemente salgas de mí con un pensamiento al respecto.
Resulta que cada Windows 7 tiene un pasaje secreto a través del cual cualquier persona puede llegar a cualquier archivo en su computadora; Esta vulnerabilidad también existe en Windows 2000, XP y Vista.
Por defecto, el acceso de accesorios a los discos duros está abierto. Todos lo entendieron todo, a todos los discos duros, puede ponerse en contacto con el exterior.
Peor aún, estas conexiones están ocultas, es decir, los discos no se muestran en la carpeta Explorador (red) de Windows, y, por lo tanto, la mayoría de los usuarios ni siquiera sospechan de qué amenaza se exponen sus datos.
Para ocultar cualquier carpeta común, al crear un recurso compartido, agregue un símbolo $ a su nombre, por ejemplo, Desktop $. Ahora, para hacer referencia a esta carpeta, introduzca su ruta UNC en la barra de direcciones (por ejemplo, \\\\ Xander \\ Desktop $) en la barra de direcciones (por ejemplo, pulse ENTER.
Puede comprobar si el equipo: Abra el Explorador de Windows (incluso mejor - Explorador de Windows abierto en otro equipo de la red) y escriba el nombre de su equipo en la barra de direcciones, y luego el nombre de la acción administrativa para el disco con :, por ejemplo:
\\\\ your_computer \\ con $
y presione ENTER. Si los contenidos se abrieron. disco duroEntonces, en su computadora, se permite el acceso administrativo a los recursos compartidos. (Lista de todas las carpetas compartidas, oculta y abierta, se puede ver utilizando la utilidad de administración de la administración de computadoras, que se discutirá más adelante).
Presumiblemente configuraciones para el valor predeterminado de Windows 7 prohibir acceso a la red a recursos compartidos administrativos. Si logras ver el contenido del recurso compartido con $ desde el ordenador, pero no de otros, es decir, "el equipo no amenaza nada desde este punto de vista. Pero no se sorprenda si usted ve el contenido de su disco desde: desde otro ordenador de la red de Microsoft asegura que se embarcó este agujero, pero la práctica demuestra lo contrario sobre cómo mantener el acceso administrativo a los recursos compartidos, sino que esconderse de.. computadoras remotas, Habla en la próxima subsección.
Desafortunadamente, para deshabilitar los recursos compartidos administrativos, no lo suficiente como para deshabilitar el acceso remoto a los discos. Debe deshabilitar el mecanismo que lo permita automáticamente cada vez que se enciende la computadora. Hacer lo siguiente:
1. Abra el Editor del Registro (consulte el Capítulo 3).
2. Ampliar el HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ parámetros rama.
4. Ahora haga doble clic en el parámetro AutosHareWKS, ingrese 0 en el campo Valor (datos de valor) y haga clic en Aceptar. (Y otra vez, si no hay tal parámetro, cree un comando similar).
5. Cierre el Editor del Registro.
6. Abra el menú Inicio, ingrese el CompmGMT.MSC en el campo Buscar y presione ENTER. Se abre la administración de computadoras (administración de computadoras). También se puede abrir haciendo clic con el botón derecho en la computadora (computadora) en el menú Inicio y seleccione Administrar (administrar).
7. En el panel izquierdo, expanda el elemento Herramientas del sistema (Herramientas del sistema), entonces las carpetas compartidas (carpetas compartidas) y haga clic en la carpeta de acciones).
Aquí, la lista de todas las carpetas públicas en la computadora se muestra independientemente de si están ocultas o no. Incluso si no le importa el problema de los recursos compartidos administrativos, esta herramienta es conveniente para solicitar un seguimiento de las conexiones existentes. Por cierto, la lista de recursos compartidos se puede ver en Línea de comandoAl comandar la vista neta / todo el comando wlocalhost. Para eliminar un recurso compartido, se usa el comando NET USE / DESETE, donde el recurso es el nombre del recurso común.
8. Con el fin de recursos compartidos administrativos eliminar manualmente, haga clic en cada uno de ellos (de $, D $, E $, etc.) Haga clic y en el menú contextual, seleccione Guardar Sharing (Dejar de compartir). En ambas ventanas de consulta, responda sí (sí).
Aquí puede eliminar los recursos compartidos ocultos (es decir, todo, el nombre del que finaliza con el signo de dólar), excepto los siguientes tres:
el ambiente tivo es que algunas personas necesitan). Está comprobado que la ruptura de un ordenador a través de un recurso total de 1 $ de traza es posible, sin embargo, la única manera de desactivarlo es para siempre para prohibir el acceso común a todos los archivos. Puede detener temporalmente el acceso total al recurso de $ -Windows de $ -Windows de todos modos, recree la conexión cuando comienza la siguiente;
flaquía con fines maliciosos, es mejor no desconectarlo si una impresora común está conectada a su computadora;
p se utiliza como un servidor web o una plataforma de desarrollo de software de red.
9. Cuando termine, reinicie Windows. Abra la utilidad de administración de la computadora (administración de computadoras) para asegurarse de que los recursos compartidos administrativos no se hayan rebelado de las cenizas.
Algunos administradores no aprueban tal enfoque. Al final, los recursos compartidos administrativos ocultos se inventan no solo así. Permiten que los administradores de red instalen programas, realice la desfragmentación del disco, consulte el Registro y realice remotamente las actividades de mantenimiento de otras computadoras. Sin embargo, pregúntese, ¿a menudo lo haces?
Los recursos compartidos administrativos también necesitan funciones versiones anteriores (versiones anteriores) (esto se indicó en la sección "Volver al pasado: usar los puntos de recuperación y copias de sombra"). Deshabilitar el acceso a las comunidades administrativas, y la pestaña versión anterior (versiones anteriores) en la ventana Propiedades de cualquier archivo se limpiará. Además, le diré cómo apagar el agujero en seguridad, ahorrando la capacidad de acceder a las versiones anteriores.
Una de las tareas de administración del sistema en red corporativa - Control de acceso. En particular, el acceso a las computadoras con los derechos de administrador debe regularse rígidamente.
ENTONCES tiempos de Windows 2000 y Windows XP Hay una cuenta integrada de administrador local, lo que crea una gran cantidad de problemas de control de acceso: una contraseña para cientos o miles de ordenadores conocidos por muchas personas que no tienen la posibilidad de cambiar durante largos años - problemas! Durante mucho tiempo se ha recomendado a cambiar el nombre, o apagar esta cuenta y crear su propio. Esto dificulta la implementación de ataques que utilizan científicos administrativos locales, pero no excluye tales amenazas.
No hace mucho tiempo, se reemplazó un medio para un cambio periódico de una contraseña de la cuenta de administrador local. Con él, puedes resolver muchos problemas, pero no todos. Por ejemplo, ¿qué pasaría si hay varios grupos de personal de servicio y la política empresarial prescribe para tener su cuenta administrativa local?
Pero regresemos a las amenazas. Está claro que, teniendo acceso local A la computadora, el atacante puede hackear el sistema. seguridad de Windows, Obtenga acceso a la contraseña de administrador local en efectivo (u otra cuenta administrativa) y use para conectarse a otras computadoras a través de la red.
La única forma de prohibir conección remota A un ordenador mediante una entrada administrativa local, es para especificar una cuenta de la cuenta en la política "Denegar el acceso a este equipo desde la red" (y, posiblemente, "Denegar inicio de sesión a través de Servicios de escritorio remoto"). Si hay muchas de esas grabaciones de cuentas, deberá enumerarlas todas en la Política de Grupos. Y este ya es un factor humano, y existe la posibilidad de que haya errores en la configuración.
La buena noticia es que, comenzando con versión de Windows 8.1 / 2012 R2, implementado nueva oportunidad: No puedes listar local cuentasY especifique el SID común para todos ellos. Dos SIDS dos: "Todas las cuentas locales" y "Todas las cuentas administrativas locales":
S-1-5-113: NT Autority \\ Cuenta local
S-1-5-114: NT Authority \\ Cuenta local y miembro del grupo de administradores
La buena noticia es también que esta característica está impresa en Windows 7/8/2008 R2 / 2012 (KB 2871997).
Cabe señalar otra forma simple de protección parcial contra la amenaza en consideración: Faerwal. Hay dos puntos.
- Vía política de grupo Puede especificar de qué direcciones o redes puede realizar una conexión remota a las interfaces de control de la computadora. Como regla general, prescribe la política de seguridad de la empresa que los administradores ordenadores son por lo menos en una red de administración especial, o incluso en las direcciones dadas de manera rígida.
- Por separado, es necesario prestar atención al permiso para conectarse a las bolas ubicadas en computadoras personales. No hay solución general. Pero generalmente la política de la compañía a este respecto es un rígido, no hay una bola personalizada. Si está permitido, solo el acceso a las bolas administrativas y esto debe permitirse solo a los administradores como se especifica en la cláusula 1. Pero si hay impresoras compartidas en computadoras personales, la única forma sencilla de permitirlo sin destruir el sistema de protección es agregar permiso (regla) para la red local (de lo contrario, los usuarios no podrán conectar impresoras compartidas de una computadora vecina).
Y la última adición. No olvides pro