Menú
Es gratis
registro
casa  /  Educación/ Acceso administrativo a unidades locales. Acceso administrativo remoto a Windows

Acceso administrativo a unidades locales. Acceso administrativo remoto a Windows

Ante el hecho de que no es posible conectarse de forma remota a las bolas administrativas predeterminadas (que son con el dólar) en una computadora con Windows 10 bajo un usuario que sea miembro del grupo de administradores locales. Además, bajo la cuenta del administrador local incorporado (), dicho acceso funciona.

Un poco más de detalle sobre cómo se ve el problema. Estoy tratando de acceder a los recursos administrativos integrados desde una computadora remota computadora con windows 10, que consta de grupo de trabajo(con el firewall deshabilitado) así:

  • \\win10_pc\C$
  • \\win10_pc\D$
  • \\win10_pc\IPC$
  • \\win10_pc\Administrador$

En la ventana de autorización, ingreso el nombre y la contraseña de una cuenta que es miembro del local administradores de Windows 10, lo que provoca un error de acceso (Acceso denegado). Al mismo tiempo, el acceso a impresoras y directorios de red compartidos en Windows 10 funciona bien. El acceso bajo la cuenta de administrador integrada a los recursos administrativos también funciona. Si este equipo está incluido en el dominio Directorio Activo, luego, en las cuentas de dominio con derechos de administrador, el acceso a las bolas de administración tampoco está bloqueado.

El punto es otro aspecto de la política de seguridad que apareció en UAC - el llamado UAC remoto(control de cuentas de usuario para conexiones remotas), que filtra los tokens de acceso de registros locales y cuentas de Microsoft, bloqueando el acceso administrativo remoto a dichas cuentas. Al acceder bajo una cuenta de dominio, no se impone tal restricción.

Puede deshabilitar el UAC remoto creando un registro del sistema parámetro

Consejo. Esta operación reduce ligeramente el nivel de seguridad del sistema.


Nota. Puede crear la clave especificada con solo un comando

registro agregar "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

Una vez descargado, intente abrir el directorio administrativo de C$ de forma remota en una computadora con Windows 10. Inicie sesión con una cuenta que sea miembro del grupo de administradores locales. Debería abrirse una ventana del explorador con el contenido de la unidad C:\.

Nota. También estarán disponibles otras funciones remotas. Controles de Windows 10, incluso ahora puede conectarse de forma remota a una computadora usando un complemento gestión informática(gestión informática).

Entonces, descubrimos cómo usar el parámetro LocalAccountTokenFilterPolicy para permitir acceso remoto a recursos de administración ocultos para todos los administradores locales de la computadora con Windows. esta instrucción también se aplica a Windows 8.x, 7 y Vista.

Es bueno sentir que en un mundo donde constantemente tienes que preocuparte por software espía, phishing y intentos de piratería Conexiones inalámbricas, hay algo permanente: como antes, el propio Windows abre la puerta a todas estas amenazas. Estás tan complacido que simplemente pierdes los estribos con solo pensarlo.
Resulta que cada Windows 7 tiene un pasaje secreto a través del cual cualquiera puede acceder a cualquier archivo de su computadora; esta vulnerabilidad también existe en Windows 2000, XP y Vista.
De manera predeterminada, los discos duros de su computadora son compartidos. Has entendido todo correctamente, se puede acceder a todos los discos duros desde el exterior. Peor aún, estas conexiones están ocultas, lo que significa que las unidades no aparecen en la carpeta Red del Explorador de Windows, por lo que la mayoría de los usuarios ni siquiera saben qué tipo de amenaza están en riesgo sus datos.
Para ocultar cualquier carpeta compartida, agregue un símbolo $ al nombre del recurso compartido al crear el recurso compartido, por ejemplo, Escritorios. Ahora, para acceder a esta carpeta, escriba Barra de dirección Explorador de Windows a su ruta UNC y presione Entrar.
Puedes consultar tu ordenador: abrir Explorador de Windows e ingrese el nombre de su computadora en la barra de direcciones, seguido del nombre del recurso compartido administrativo para la unidad C:, por ejemplo:
\\tu_computadora\c$ y presiona Enter. si se abre contenido del disco duro disco, significa que el acceso administrativo a los recursos compartidos está permitido en su computadora.
Desafortunadamente, para deshabilitar los recursos compartidos administrativos, no basta con deshabilitar el acceso remoto a los discos. Debe desactivar el mecanismo que lo resuelve automáticamente cada vez que enciende la computadora. Haz lo siguiente:
1. Abra el Editor del Registro.
2. Expanda la rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.
3. Haga doble clic en la opción AutoShareServer en el panel derecho, ingrese 0 en el campo Valor y haga clic en Aceptar. Crear valor DWORD).)
4. Ahora haga doble clic en el parámetro AutoShareWks, ingrese 0 en el campo Valor y haga clic en Aceptar.
5. Cierre el Editor del Registro.
6. Abra el menú Inicio, escriba coirpmgmt.msc en el campo de búsqueda y presione Entrar. Se abre la utilidad Administración de equipos. También se puede abrir haciendo clic con el botón derecho en Equipo en el menú Inicio y seleccionando Administrar.
7. En el panel izquierdo, expanda Utilidades, expanda Carpetas compartidas y haga clic en la carpeta Recursos compartidos.
Aquí hay una lista de todos carpetas compartidas en la computadora, ya sea que estén ocultos o no. Incluso si no te importa el problema administrativo. Para eliminar un recurso compartido, utilice el comando net use /delete resource, donde recurso es el nombre del recurso compartido.
8. Para eliminar manualmente los recursos compartidos administrativos, haga clic derecho en cada uno de ellos y seleccione Menú de contexto seleccione Dejar de compartir. Responda Sí en ambos cuadros de solicitud.
Aquí puede eliminar cualquier recurso compartido oculto, excepto los tres siguientes:
1PC$, que significa Comunicación entre procesos. Este recurso compartido se utiliza para administrar de forma remota una computadora. Se ha demostrado que es posible piratear una computadora a través de un recurso compartido de 1PC$, pero la única forma de desactivarlo es prohibir permanentemente compartir cualquier archivo. Puede dejar de compartir temporalmente el recurso 1PC$; Windows volverá a crear la conexión en el próximo inicio;
impresión. Este recurso compartido se utiliza para compartir archivos de controladores de impresora en un entorno que tiene una impresora compartida. Si bien, en teoría, esta carpeta compartida también se puede usar con fines maliciosos, es mejor no desactivarla si una impresora compartida está conectada a su computadora;
wwwroot$. Este recurso compartido aparece cuando la computadora tiene software microsoft internet servidor de información No lo cambie si su computadora se utiliza como servidor web o plataforma de desarrollo de software de red.
9. Cuando termine, reinicie Windows. Abra la utilidad Administración de equipos nuevamente para asegurarse de que los recursos compartidos administrativos no se hayan levantado de las cenizas.
Algunos administradores no aprueban este enfoque. Después de todo, los recursos compartidos administrativos ocultos no solo se inventan. Permiten a los administradores de red instalar programas, realizar la desfragmentación del disco, acceder al registro y realizar otras actividades de mantenimiento de la computadora de forma remota. Sin embargo, pregúntese, ¿con qué frecuencia hace esto?
Los recursos compartidos administrativos también son características requeridas Versión anterior. Deshabilite el acceso a la comunidad administrativa y se borrará la pestaña Versiones anteriores en la ventana Propiedades de cualquier archivo. A continuación, te diré cómo tapar un agujero de seguridad manteniendo la capacidad de acceder a versiones anteriores.
Si todavía estás dudando, recuerda que Contraseñas de Windows se puede romper de muchas maneras. ¿Está claro el problema ahora? Si su computadora no es parte de una red corporativa y nunca usa control remoto, entonces, al dejar abierta la laguna, no ganas nada, pero puedes perderlo todo.

Es bueno sentir que en un mundo en el que tienes que preocuparte constantemente por el spyware, el phishing y los intentos de piratear redes inalámbricas, hay algo constante: como antes, Windows mismo abre la puerta a todas estas amenazas. Estás tan complacido que simplemente pierdes los estribos con solo pensarlo.

Resulta que cada Windows 7 tiene un pasaje secreto a través del cual cualquiera puede acceder a cualquier archivo de su computadora; esta vulnerabilidad también existe en Windows 2000, XP y Vista.

De manera predeterminada, los discos duros de su computadora son compartidos. Has entendido todo correctamente, se puede acceder a todos los discos duros desde el exterior.

Para empeorar las cosas, estas conexiones están ocultas, lo que significa que las unidades no aparecen en la carpeta Red del Explorador de Windows, por lo que la mayoría de los usuarios ni siquiera saben qué tipo de amenaza corren sus datos.

Para ocultar cualquier carpeta compartida, agregue un símbolo $ al nombre del recurso compartido al crear el recurso compartido, como Escritorio$. Ahora, para acceder a esta carpeta, ingrese su ruta UNC (por ejemplo, \\Xander\ Desktop$) en la barra de direcciones del Explorador de Windows y presione Entrar.

Puede verificar su computadora: abra el Explorador de Windows (aún mejor, abra el Explorador de Windows en otra computadora en la red) e ingrese el nombre de su computadora en la barra de direcciones, seguido del nombre del recurso compartido administrativo para la unidad C:, para ejemplo:

\\tu_computadora\c$

y presione Entrar. Si se revela el contenido disco duro, entonces se permite el acceso administrativo a los recursos compartidos en su computadora. (Se puede ver una lista de todas las carpetas compartidas, ocultas y públicas, mediante la utilidad Administración de equipos, que se analizará más adelante).

Presumiblemente la configuración ventanas por defecto 7 prohibir acceso a la red a las acciones administrativas. Si puede ver el contenido del recurso compartido desde $ en su computadora, pero no desde otros, entonces "su computadora no está en peligro desde este punto de vista. Pero no se sorprenda si ve el contenido de su unidad C: desde otra computadora en la red.Microsoft asegura que llenó este agujero, pero la práctica demuestra lo contrario.Cómo mantener el acceso administrativo a los recursos compartidos, pero ocultarlos de computadoras remotas, se describe en la siguiente subsección.

Desafortunadamente, para deshabilitar los recursos compartidos administrativos, no basta con deshabilitar el acceso remoto a los discos. Debe desactivar el mecanismo que lo resuelve automáticamente cada vez que enciende la computadora. Haz lo siguiente:

1. Abra el Editor del Registro (consulte el Capítulo 3).

2. Expanda la rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.

4. Ahora haga doble clic en el parámetro AutoShareWks, ingrese 0 en el campo Información del valor y haga clic en Aceptar. (Nuevamente, si no existe tal parámetro, créelo con un comando similar).

5. Cierre el Editor del Registro.

6. Abra el menú Inicio, escriba compmgmt.msc en el campo de búsqueda y presione Entrar. Se abre la utilidad Administración de equipos. También se puede abrir haciendo clic con el botón derecho en Equipo en el menú Inicio y seleccionando Administrar.

7. En el panel izquierdo, expanda Herramientas del sistema, luego Carpetas compartidas y haga clic en la carpeta Recursos compartidos.

Esto muestra una lista de todas las carpetas compartidas en la computadora, ya sea que estén ocultas o no. Incluso si no le importa el problema de la administración recursos comunes, esta herramienta es útil para realizar un seguimiento de las conexiones existentes. Por cierto, la lista de recursos compartidos también se puede ver en línea de comando ejecutando el comando net view /all Wlocalhost. Para eliminar un recurso compartido, utilice el comando net use /delete resource, donde recurso es el nombre del recurso compartido.

8. Para eliminar manualmente los recursos compartidos administrativos, haga clic con el botón derecho en cada uno de ellos (C$, D$, E$, etc.) y seleccione Dejar de compartir en el menú contextual. Responda Sí en ambos cuadros de solicitud.

Aquí puede eliminar cualquier acción oculta (es decir, cualquier cosa que termine en un signo de dólar) con la excepción de las siguientes tres:

ambiente, pocas personas lo necesitan). Se ha demostrado que es posible piratear una computadora a través de un recurso compartido de 1PC$, pero la única forma de desactivarlo es prohibir permanentemente compartir cualquier archivo. Puede dejar de compartir temporalmente el recurso 1PC$; Windows aún volverá a crear la conexión en el próximo inicio;

utilizado con fines maliciosos, es mejor no desactivarlo si una impresora compartida está conectada a su computadora;

p se utiliza como servidor web o plataforma de desarrollo de software de red.

9. Cuando termine, reinicie Windows. Abra la utilidad Administración de equipos nuevamente para asegurarse de que los recursos compartidos administrativos no se hayan levantado de las cenizas.

Algunos administradores no aprueban este enfoque. Después de todo, los recursos compartidos administrativos ocultos no solo se inventan. Permiten a los administradores de red instalar programas, realizar la desfragmentación del disco, acceder al registro y realizar otras actividades de mantenimiento de la computadora de forma remota. Sin embargo, pregúntese, ¿con qué frecuencia hace esto?

Los recursos compartidos administrativos también requieren la función Versiones anteriores (esto se analizó en "Regreso al pasado: uso de puntos de restauración y instantáneas"). Deshabilite el acceso a la comunidad administrativa y se borrará la pestaña Versiones anteriores en la ventana Propiedades de cualquier archivo. A continuación, te diré cómo tapar un agujero de seguridad manteniendo la capacidad de acceder a versiones anteriores.

Una de las tareas de la administración de sistemas en una red corporativa es el control de acceso. En particular, el acceso a las computadoras con derechos de administrador debe estar estrictamente regulado.

Entonces tiempos de ventanas 2000 y Windows XP, hay una cuenta de administrador local incorporada, lo que crea muchos problemas para el control de acceso: ¡una contraseña para cientos o miles de computadoras conocida por muchas personas sin la capacidad de cambiarla durante muchos años es un desastre! Durante mucho tiempo se ha recomendado cambiar el nombre o deshabilitar esta cuenta y crear la suya propia. Esto hace que sea más difícil llevar a cabo ataques con credenciales administrativas locales, pero no elimina dichas amenazas.

No hace mucho tiempo, apareció una herramienta para cambiar periódicamente la contraseña de la cuenta de administrador local. Puede resolver muchos problemas, pero no todos. Por ejemplo, ¿qué pasa si hay varios grupos de personal de servicio y la política de la empresa prescribe que cada grupo tenga su propia cuenta administrativa local?

Pero volvamos a las amenazas. Es claro que tener acceso local computadora, un atacante puede piratear el sistema Seguridad de Windows, acceda al caché de contraseñas del administrador local (u otra cuenta administrativa) y utilícelo para conectarse a otras computadoras a través de la red.

La única manera de prohibir conección remota a una computadora usando una cuenta administrativa local es especificar el SID de la cuenta en la política "Denegar acceso a esta computadora desde la red" (y posiblemente "Denegar inicio de sesión a través de Servicios de escritorio remoto"). Si hay muchas cuentas de este tipo, deberá enumerarlas todas en la política de grupo. Y esto ya es un factor humano, y existe la posibilidad de que haya errores en la configuración.

La buena noticia es que, a partir de Versiones de Windows 8.1/2012 R2, implementado nueva oportunidad: no se puede enumerar local cuentas y especifique el SID común para todos ellos. Hay dos SID de este tipo: "todas las cuentas locales" y "todas las cuentas administrativas locales":

S-1-5-113: AUTORIDAD NT\Cuenta local

S-1-5-114: NT AUTHORITY\Cuenta local y miembro del grupo Administradores

La buena noticia es que esta función también se ha portado a Windows 7/8/2008 R2/2012 (KB 2871997).

Cabe señalar que otra forma sencilla de protegerse parcialmente contra la amenaza en cuestión es un firewall. Hay dos puntos.

  1. Vía pólizas de grupo puede especificar desde qué direcciones o redes puede conectarse de forma remota a las interfaces de control de la computadora. Por lo general, la política de seguridad empresarial dicta que las computadoras del administrador se ubiquen al menos en una red de control dedicada, o incluso en direcciones codificadas.
  2. Por separado, debe prestar atención al permiso para conectarse a las bolas ubicadas en Computadoras personales. No hay una solución general. Pero, por lo general, la política de la empresa a este respecto es estricta: no hay acciones personalizadas. Si está permitido, solo acceda a los recursos compartidos de administración y esto debe permitirse solo a los administradores como se especifica en el punto 1. Pero si se usan impresoras compartidas en computadoras personales, entonces la única manera fácil de permitir esto sin romper el sistema de seguridad es agregar un permiso (regla) para la red local (de lo contrario, los usuarios no podrán conectar impresoras compartidas desde una computadora vecina). ).

Y la última adición. no te olvides de