bejáratAdminisztratív hozzáférés a helyi lemezekhez. Távoli adminisztrációs hozzáférés a Windows rendszerhez
Arra van szükség, hogy nem lehet távolról csatlakozni az alapértelmezett adminisztratív golyókhoz (amelyek egy dollárral rendelkeznek) a Windows 10 számítógépen lévő számítógépen a helyi adminisztrátorok csoportjához tartozó felhasználó alatt. Ráadásul az integrált helyi adminisztrátori fiók () alatt az ilyen hozzáférés működik.
Egy kicsit arról, hogy mi a probléma. A távoli számítógéppel próbálkozom a beépített adminisztrációs erőforrásokhoz. windows számítógép 10 munkacsoport (A tűzfal lekapcsolva) így:
- \\\\ win10_pc \\ c $
- \\\\ win10_pc \\ d $
- \\\\ win10_pc \\ ipc $
- \\\\ win10_pc \\ admin $
Az Engedélyezési ablakban megadom a helyi csoportba tartozó fiók nevét és jelszavát windows rendszergazdák 10, amelyhez megjelenik a hozzáférési hiba (a hozzáférés megtagadva). Ugyanakkor a megosztott hálózati könyvtárakhoz és nyomtatókhoz való hozzáférés normálisan működik. A beépített adminisztrátori fiókhoz való hozzáférés az adminisztratív erőforrásokhoz is működik. Ha ez a számítógép szerepel az Active Directory tartományban, akkor az adminisztrátori jogosultsággal rendelkező domain számlák alatt az adminisztrátori golyókhoz való hozzáférés nem blokkolva van.
Az ügy a biztonsági házirend egy másik aspektusában van az UAC - az úgynevezett Távoli UAC (A távoli kapcsolatok számláinak ellenőrzése), amely a helyi bejegyzések és a Microsoft fiókok hozzáférésének jelzőjeit szűri, blokkolja a távoli adminisztratív hozzáférést az ilyen számlákhoz. A domain-fiók elérésekor egy ilyen korlátozás nincs kivetve.
A távoli UAC letiltása a rendszerellenőrzési rendszerleíró adatbázis Paraméter
Tanács. Ez a művelet kissé csökkenti a rendszer biztonsági szintjét.
jegyzet. A megadott kulcs létrehozása csak egy parancs lehet.
rEG hozzáadása "HKLM \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System" / V "LocalaccountTokenFilterPolicy" / T REG_DWORD / d 1 / f
Letöltés után próbálja meg távolról nyissa ki a C $ adminisztrációs katalógus könyvtárat a Windows 10 számítógépen. Jelentkezzen be a helyi adminisztrátorok csoportjában szereplő rekordba. A karmester ablaknak a C: \\ lemez tartalmával kell nyitnia.
jegyzet. A távoli másik funkcionalitása windows menedzsment 10, beleértve most is, távolról csatlakozik egy számítógéphez egy pillanatra Számítógépkezelés. (Számítógépkezelés).
Tehát úgy fordítottuk, hogy hogyan használják a lokaccountTokenFilterpolicy paramétert távoli hozzáférés Az összes helyi Windows számítógépes rendszergazdák rejtett adminisztrátori erőforrásaihoz. Ez az utasítás Alkalmazható a Windows 8.x, 7 és Vista rendszerre is.
Örülök, hogy úgy érzem, hogy a világban, ahol folyamatosan aggódnia kell kémprogramok, adathalászat és hacker kísérletek vezeték nélküli hálózatok, Van valami állandó - mint korábban, a Windows maga barátja megnyitja az ajtókat mindezen fenyegetésekért. Annyira kedves vagy, hogy egyszerűen kijönsz magamból, egy gondolattal.
Kiderül, hogy minden egyes Windows 7 van egy titkos átjáró, amelyen keresztül bárki eljuthat a számítógép bármely fájljához; Ez a biztonsági rés a Windows 2000, XP és a Vista rendszerben is létezik.
A számítógépen lévő merevlemezek alapértelmezése nyitva van általános hozzáférés. Mindannyian megértetted mindent, minden merevlemezre, amellyel kapcsolatba léphet a külsővel. Rosszabb, ezek a kapcsolatok rejtve vannak, azaz a lemezek nem jelennek meg a Windows Explorer Network mappában, ezért a legtöbb felhasználó nem is gyanítja, hogy melyik fenyegetésnek van kitéve.
Annak érdekében, hogy elrejtsen bármilyen közös mappát, megosztott erőforrás létrehozásakor adjon hozzá egy $ szimbólumot a nevéhez - például az asztali számítógépekhez. Most, hogy lépjen kapcsolatba a mappával, írja be a címsor Windows Explorer az UNC elérési útját, és nyomja meg az Enter billentyűt.
Ellenőrizheti a számítógépet: nyitott Windows Intéző és írja be a számítógép nevét a címsorban, majd a lemez adminisztratív teljes erőforrásának nevét:, például: például:
\\\\ Your_Computer \\ C $ és nyomja meg az Enter billentyűt. Ha megnyílik tartalom kemény A lemez, ez azt jelenti, hogy a számítógépen a közös erőforrásokhoz való adminisztratív hozzáférés megengedett.
Sajnálatos módon, hogy tiltsa le az adminisztratív megosztott erőforrások, nem elég ahhoz, hogy letiltja a távoli hozzáférést a lemezekhez. Meg kell tiltania azt a mechanizmust, amely automatikusan engedélyezi, hogy minden alkalommal, amikor a számítógép be van kapcsolva. Tegye a következőket:
1. Nyissa meg a Rendszerleíróadatbázis-szerkesztőt.
2. Bontsa ki a HKEY_LOCAL_MACHINE \\ SYSTEM \\ CHREATHCONTROLSET \\ SERVICES \\ LANMANSERVER \\ paraméterek fióktelepét.
3. Dupla csomag az AutoShareserver paraméteren kétszer, írja be az 0-at az érték mezőbe, és kattintson az OK gombra. DWORD paraméter létrehozása).).)
4. Most kattintson duplán az AutoSharewks paraméterre, írja be az érték mezőbe, majd kattintson az OK gombra.
5. Zárja be a Rendszerleíróadatbázis-szerkesztőt.
6. Nyissa meg a Start menüt, írja be a Coirpmgmt.msc-t a Keresés mezőbe, majd nyomja meg az Enter billentyűt. Megnyílik a számítógépkezelő segédprogram. A Kattintson a jobb gombbal a számítógépes elemre a Start menüben, és válassza a Menedzsment lehetőséget.
7. A bal oldali ablaktáblában bontsa ki a Service Program elemet, majd a megosztott mappákat, majd kattintson a Megosztott erőforrások mappára.
Az összes listája itt jelenik meg. közös mappák Számítógépen, függetlenül attól, hogy rejtve vannak-e vagy sem. Még ha az adminisztratív probléma nem aggódik. Megosztott erőforrás törléséhez a nettó használat / törlés parancsot használják, ahol az erőforrás a közös erőforrás neve.
8. Az adminisztratív megosztott források manuális törléséhez kattintson a jobb gombbal és a kontextus menü Válassza a Megosztás mentése lehetőséget. Mindkét lekérdezési ablakban válaszoljon igen.
Itt törölheti a rejtett megosztott forrásokat, kivéve a következő háromt:
1RC $, ami az inter-folyamatközi kommunikációt jelenti. Ez a megosztott erőforrás a számítógép távolról történő kezelésére szolgál. Bizonyítva, hogy a számítógép megszakítása 1 Trace $ teljes erőforráson keresztül lehetséges, de az egyetlen módja annak, hogy tiltsa le, örökre megtiltani a közös hozzáférést minden fájlhoz. Ideiglenesen megállíthatja a $ 1-Windows erőforráshoz való hozzáférést - A Windows még mindig újraindítja a kapcsolatot, amikor a következő induláskor;
Nyomtatás. Ez a megosztott erőforrás a nyomtató-illesztőprogram fájlok cseréjére szolgál, ahol van egy megosztott nyomtató. Bár elméletileg ez a közös mappa rosszindulatú célokra is használható, jobb, ha nem kapcsolja ki, ha egy közös nyomtató csatlakozik a számítógéphez;
wwwroot $. Ez a megosztott erőforrás jelen van a listában, amikor a számítógép telepítve van szoftver Microsoft Internet Információs szerver. Megváltoztatja, ha a számítógép webszerverként vagy hálózati szoftverfejlesztési platformként használható.
9. Ha befejezte, indítsa újra az ablakokat. Nyissa meg a számítógépkezelési segédprogramot, hogy megbizonyosodjon arról, hogy az adminisztratív közös erőforrások nem lázadtak ki a hamuból.
Egyes rendszergazdák nem hagynak jóvá egy ilyen megközelítést. Végül a rejtett adminisztratív közös erőforrások nem csak ilyenek. Lehetővé teszik a hálózati rendszergazdák számára, hogy telepítsenek programokat, elvégezzék a lemezmegmunkálás elvégzését, olvassanak el a rendszerleíró adatbázisban, és távolról végezzen más számítógépes karbantartási tevékenységeket. Kérdezd meg azonban magát, gyakran csinálod?
A közigazgatási megosztott források is szükségük van funkciókra. Előző verziók. Az adminisztratív közösségek letiltása, valamint a fájl tulajdonságai ablakának korábbi verziói lapja megtisztul. Továbbá elmondom, hogyan kell kikapcsolni a lyukat a biztonságban, és megmenti az előző verziók elérésének képességét.
Ha még mindig habozik, ne feledje windows jelszavak különböző módon lehet megszakítani. A probléma most nyilvánvaló? Ha a számítógép nem szerepel a vállalati hálózatban, és soha nem igényel távirányító, Akkor hagyva a kiskaput nyitva, nem szerez semmit - mindent elveszíthetsz.
Örülök, hogy úgy érzi, hogy "hogy a világon, ahol folyamatosan aggódnia kell a kémprogramok, az adathalászat és a vezeték nélküli hálózatok feltörésére, van valami állandó - mint korábban, a Windows maga is megnyitja az ajtókat az összes ilyen fenyegetésekkel. Annyira kedves vagy, hogy egyszerűen kijönsz magamból, egy gondolattal.
Kiderül, hogy minden egyes Windows 7 van egy titkos átjáró, amelyen keresztül bárki eljuthat a számítógép bármely fájljához; Ez a biztonsági rés a Windows 2000, XP és a Vista rendszerben is létezik.
Alapértelmezés szerint a merevlemezekhez való hozzáférés nyitva van. Mindannyian megértetted mindent, minden merevlemezre, amellyel kapcsolatba léphet a külsővel.
Rosszabb, ezek a kapcsolatok rejtve vannak, azaz a lemezek nem jelennek meg a Windows Explorer (hálózati) mappában, ezért a legtöbb felhasználó nem is gyanítja, hogy melyik fenyegetés az adatok ki vannak téve.
Annak érdekében, hogy elrejtsük a közös mappát, megosztott erőforrás létrehozásakor adjunk hozzá egy $ szimbólumot a nevéhez - például asztali $. Most, hogy hivatkozzon erre a mappára, adja meg az UNC elérési útvonalat a címsorban (például, \\\\ Xander \\ Desktop $) a címsorban (például nyomja meg az Enter billentyűt.
Ellenőrizheti a számítógépet: Nyissa meg a Windows Explorer (Még jobb - Nyissa meg a Windows Intézőt egy másik számítógépen a hálózaton), és adja meg a számítógép nevét a címsorban, majd a lemez adminisztratív részesedésének nevét: példa:
\\\\ your_Computer \\ $
És nyomja meg az ENTER gombot. Ha a tartalom kinyílt merevlemezTehát a számítógépén a közös erőforrásokhoz való adminisztratív hozzáférés megengedett. (Az összes megosztott mappák listája - Rejtett és nyitott - megtekinthető a számítógépkezelő menedzsment segédprogram használatával, amelyet tovább fognak megvitatni.)
Feltételezhető beállítások az ablakok alapértelmezése 7 megtiltja hálózati hozzáférés az adminisztratív közös erőforrásokhoz. Ha sikerül megnézni a megosztott erőforrás tartalmát a dollárból, de nem másoktól, akkor azt jelenti, hogy "a számítógép nem fenyegeti semmit ebből a szempontból. De ne meglepődjenek, ha látod, ha látod a tartalmát Lemez: Egy másik számítógépről a hálózaton. A Microsoft biztosítja, hogy megkezdte ezt a lyukat, de a gyakorlat az ellenkezőjét bizonyítja. Továbbá a közös erőforrásokhoz való adminisztratív hozzáférés, de elrejti őket távoli számítógépek, Beszél a következő alfejezetben.
Sajnálatos módon, hogy tiltsa le az adminisztratív megosztott erőforrások, nem elég ahhoz, hogy letiltja a távoli hozzáférést a lemezekhez. Meg kell tiltania azt a mechanizmust, amely automatikusan engedélyezi, hogy minden alkalommal, amikor a számítógép be van kapcsolva. Tegye a következőket:
1. Nyissa meg a Rendszerleíróadatbázis-szerkesztőt (lásd a 3. fejezetet).
2. Bontsa ki a HKEY_LOCAL_MACHINE \\ SYSTEM \\ CHREATHCONTROLSET \\ SERVICES \\ LANMANSERVER \\ paraméterek fióktelepét.
4. Most kattintson duplán az AutoSharewks paraméterre, írja be a 0 értéket az Érted mezőben (értékadatok), majd kattintson az OK gombra. (És ismét, ha nincs ilyen paraméter, hozzon létre egy hasonló parancsot.)
5. Zárja be a Rendszerleíróadatbázis-szerkesztőt.
6. Nyissa meg a Start menüt, írja be a CompMGMT.msc-t a Keresés mezőbe, és nyomja meg az Enter billentyűt. Megnyílik a számítógépkezelés (számítógépkezelés). Megnyitható a jobb egérgombbal a számítógépen (számítógép) a Start menüben, és válassza a Manage (Manage) lehetőséget.
7. A bal oldali ablaktáblában bontsa ki a rendszereszközök elemét (rendszereszközöket), majd a megosztott mappák (megosztott mappák), majd kattintson a Részvények) mappára.
Itt megjelenik a számítógép összes nyilvános mappájának listája, függetlenül attól, hogy rejtettek-e vagy sem. Még akkor is, ha nem érdekel az adminisztratív megosztott források problémájával, ez az eszköz kényelmes alkalmazni a meglévő kapcsolatok nyomon követésére. By the way, a megosztott erőforrások listája megtekinthető Parancs sorA nettó nézet / az összes wlocalhost parancs parancsával. Megosztott erőforrás törléséhez a nettó használat / törlés parancsot használják, ahol az erőforrás a közös erőforrás neve.
8. Az adminisztratív megosztott források manuális törléséhez kattintson mindegyikre ($, D $, E $ stb.) Kattintson a jobb egérgombbal és a helyi menüben válassza a Megosztás mentése (STOP megosztás) lehetőséget. Mindkét lekérdezési ablakban válaszoljon igen (igen).
Itt törölheti a rejtett közös erőforrások (vagyis minden, amelynek neve, amelynek neve a dollár jelzéssel végződik), kivéve a következő háromt:
a környezet kevés embernek szüksége van). Bizonyítva, hogy a számítógép megszakítása 1 Trace $ teljes erőforráson keresztül lehetséges, de az egyetlen módja annak, hogy tiltsa le, örökre megtiltani a közös hozzáférést minden fájlhoz. Ideiglenesen megállíthatja a $ -windows forrásállományhoz való hozzáférést a $ -windows egyébként a következő indításkor;
hibás célú hibák, jobb, ha nem húzza ki, ha egy közös nyomtató csatlakozik a számítógéphez;
p webszerver vagy hálózati szoftverfejlesztési platformként használják.
9. Ha befejezte, indítsa újra az ablakokat. Nyissa meg újra a számítógépkezelést (számítógépkezelés) segédprogramot, hogy megbizonyosodjon arról, hogy az adminisztratív közös erőforrások nem lázadtak ki a hamuból.
Egyes rendszergazdák nem hagynak jóvá egy ilyen megközelítést. Végül a rejtett adminisztratív közös erőforrások nem csak ilyenek. Lehetővé teszik a hálózati rendszergazdák számára, hogy telepítsenek programokat, elvégezzék a lemezmegmunkálás elvégzését, olvassanak el a rendszerleíró adatbázisban, és távolról végezzen más számítógépes karbantartási tevékenységeket. Kérdezd meg azonban magát, gyakran csinálod?
A közigazgatási megosztott források szintén szükségük van a funkciókra is korábbi verziók (korábbi verziók) (ez a "Vissza a múltba" című részben - használja a helyreállítási pontokat és Árnyékmásolatok"). Az adminisztratív közösségek letiltása, valamint az előző verzió lap (korábbi verziók) a fájl tulajdonságai ablakában megtisztul. Továbbá elmondom, hogyan kell kikapcsolni a lyukat a biztonságban, és megmenti az előző verziók elérésének képességét.
A rendszer adminisztrációjának egyik feladata vállalati hálózat - Hozzáférés-szabályozás. Különösen a rendszergazdai jogokkal rendelkező számítógépekhez való hozzáférést mereven szabályozni kell.
ÍGY ablakidő 2000 és Windows XP Van egy beépített helyi adminisztrátori fiók, amely sok problémát okoz a hozzáférés ellenőrzéséhez: egy jelszó több száz vagy ezer számítógép számára ismert számos ember számára, anélkül, hogy hosszú évekre változtatná azt - baj! Régóta ajánlott átnevezni, vagy kapcsolja ki ezt a fiókot, és hozzon létre sajátját. Ez megnehezíti a helyi közigazgatási tudósok segítségével támadásokat, de nem zárja ki az ilyen fenyegetést.
Nem olyan régen, a helyi adminisztrátori fiók jelszavának periodikus változására szolgáló eszközöket cseréltek. Ezzel sok problémát megoldhat, de nem minden. Például, hogy mi van, ha a szolgáltató személyzet és a vállalati politika több csoportja van a helyi közigazgatási számlájára?
De térjünk vissza a fenyegetésekre. Nyilvánvaló, hogy helyi hozzáférés A számítógéphez a támadó hack a rendszert ablakok biztonsága, Hozzáférés a helyi adminisztrátori jelszó készpénz (vagy más adminisztrációs fiókhoz), és használja, hogy csatlakozzon más számítógépekhez a hálózaton keresztül.
Az egyetlen módja annak, hogy tiltsa távoli kapcsolat Ahhoz, hogy a számítógép egy helyi közigazgatási bejegyzés, hogy meghatározza egy számlát a számla a „hozzáférés letiltása Ez számítógép hálózati” politika (és esetleg a „Deny jelentkezzen be a Távoli asztali szolgáltatások”). Ha számos ilyen fiókfelvétel van, akkor meg kell adnia őket mind a csoportházirendben. És ez már emberi tényező, és esély van arra, hogy hibák lesznek a konfigurációban.
A jó hír az, hogy kezdődik windows verzió 8.1 / 2012 R2, végrehajtva Új lehetőség: Nem lehet felsorolni a helyieket fiókok, És adja meg mindegyik közös SID-t. Ilyen SIDS két: "Minden helyi fiók" és "minden helyi adminisztrációs fiók":
S-1-5-113: NT Hatóság \\ Helyi fiók
S-1-5-114: NT AUTHORICE \\ Helyi fiók és a rendszergazdák csoport tagja
A jó hír is, hogy ezt a funkciót a Windows 7/8/2008 R2 / 2012 (KB 2871997) adja.
Meg kell jegyezni egy másik egyszerű módja a részleges védelemnek a vizsgált fenyegetés ellen - Faerwal. Két pont van.
- Keresztül csoportházirend Megadhatja, hogy milyen címek vagy hálózatok elvégezhetnek távoli kapcsolatot a számítógép vezérlési felületeihez. Rendszerint a vállalat biztonsági politikája előírja, hogy a rendszergazdák számítógépek legalább egy speciális menedzsment hálózatban, vagy akár mereven adott címeken is.
- Külön, hogy figyelmet kell fordítani az engedélyezésre, hogy csatlakozzon a bekapcsolt golyókhoz személyi számítógépek. Nincs általános megoldás. De általában a vállalat politikája ebben a tekintetben egy merev - nincs egyéni labda. Ha megengedett, csak az adminisztratív golyókhoz való hozzáférés, és ezt csak az 1. pontban meghatározott adminisztrátoroknak engedélyezni kell. De ha a személyi számítógépeken megosztott nyomtatók vannak, az egyetlen egyszerű módja annak, hogy a védelmi rendszer megsemmisítése nélkül engedélyezze az engedélyt (szabály) a helyi hálózathoz (egyébként a felhasználók nem tudják összekapcsolni a megosztott nyomtatókat egy szomszédos számítógépről).
És az utolsó kiegészítés. Ne felejtsd el a profilt