wejścieDostęp administracyjny do dysków lokalnych. Zdalny dostęp administracyjny do systemu Windows
W obliczu, że nie można zdumieć połączyć się z domyślnymi kulkami administracyjnymi (które z dolarem) na komputerze z systemem Windows 10 pod użytkownikiem należącym do grupy lokalnych administratorów. Ponadto pod zintegrowanym kontem lokalnym () taki dostęp pracuje.
Trochę więcej o tym, jak wygląda problem. Próbuję ze zdalnym komputerem, zwróci się do wbudowanych zasobów administracyjnych. komputer z systemem Windows. 10 składający się z grupa robocza (Z rozłączonym zaporą) tak:
- win10_pc c $
- win10_pc d $
- win10_pc ipc $
- win10_pc administrator $
W oknie autoryzacji wprowadzam nazwę konta i hasło składające się w lokalnej grupie administratorzy systemu Windows. 10, do którego pojawia się błąd dostępu (odmowa dostępu). W tym samym czasie, dostęp do udostępnionych katalogów sieciowych i drukarek w systemie Windows 10 działa normalnie. Dostęp na podstawie wbudowanego konta administratora do zasobów administracyjnych również działa. Jeśli ten komputer jest dołączony do domeny Active Directory, a następnie pod konta domeny z dostępem do praw administratora do piłek administratora nie jest również zablokowany.
Sprawa jest w innym aspekcie polityki bezpieczeństwa, która pojawia się w UAC - tzw Zdalny UAC. (Kontrola kont dla połączeń zdalnych), który filtruje tokeny dostępu lokalnych wpisów i kont Microsoft, blokujący zdalny dostęp administracyjny do takich kont. Podczas uzyskiwania dostępu do konta domeny, takie ograniczenie nie jest narzucone.
Wyłącz zdalny UAC, tworząc rejestr systemu Parametr
Rada. Ta operacja nieznacznie zmniejsza poziom bezpieczeństwa systemu.
Uwaga. Utwórz określony klawisz może być tylko jeden polecenie.
reg Dodaj "HKLM oprogramowanie Microsoft Windows CurrentVersion Polityka System" / V "LocalAccountTokokenFilterPolicy" / T Reg_dword / D 1 / F
Po pobraniu spróbuj zdalnie otworzyć katalog katalog administracyjny C $ na komputerze z systemem Windows 10. Zaloguj się do rekordu zawarty w lokalnej grupie administratorów. Okno przewodnika musi otworzyć się z zawartością C: Disk.
Uwaga. Druga funkcjonalność pilota zarządzanie systemem Windows. 10, w tym teraz możesz zdalnie połączyć się z komputerem za pomocą przyciągania Zarządzanie komputerem. (Zarządzanie komputerem).
Więc zajmowaliśmy się sposobem korzystania z parametru LocalaccountokokenFilterPolicy, aby umożliwić dostęp zdalny Aby ukryć zasoby administratora dla wszystkich lokalnych administratorów komputera Windows. Ta instrukcja Dotyczy również Windows 8.x, 7 i Vista.
Miło jest poczuć, że na świecie, gdzie ciągle się martwisz programy szpiegujące, próby phishingu i hakowania sieci bezprzewodowe, Jest coś stałego - jak poprzednio, sama jest przyjazna, otwiera drzwi do wszystkich tych zagrożeń. Jesteś taki miły, że po prostu wyjdziesz z siebie z myślą o tym.
Okazuje się, że każdy Windows 7 ma tajne przejście, przez który każdy może dostać się do dowolnego pliku na komputerze; Ta luka istnieje również w systemie Windows 2000, XP i Vista.
Domyślnie dyski twarde na komputerze jest otwarte ogólny dostęp. Wszyscy zrozumiałeś wszystko, do wszystkich dysków twardych możesz skontaktować się z zewnątrz. Co gorsza, połączenia te są ukryte, czyli tarcze nie są wyświetlane w folderze Eksploratora Eksploratora, a zatem większość użytkowników nie podejrzewają nawet, które zagrożenie ich dane są przedmiotem.
Aby ukryć dowolny wspólny folder, podczas tworzenia wspólnego zasobu, dodaj $ Symbol do swojej nazwy - na przykład pulpitów. Teraz, aby skontaktować się z tym folderem, wprowadź wiersz adresu Windows Explorer jego ścieżka UNC i naciśnij Enter.
Możesz sprawdzić swój komputer: Otwórz Eksplorator Windows i wprowadź nazwę komputera w pasku adresu, a następnie nazwa administracyjnego ogólnego zasobu na dysk z:, na przykład:
Twój_komputer C $ i naciśnij Enter. Jeśli zostanie otwarty treść ciężko Dysk, oznacza, na komputerze dozwolony jest dostęp administracyjny do wspólnych zasobów.
Niestety, aby wyłączyć wspólne zasoby administracyjne, niewystarczające, aby wyłączyć zdalny dostęp do dysków. Musisz wyłączyć mechanizm, który automatycznie zezwala na to za każdym razem, gdy komputer jest włączony. Wykonaj następujące czynności:
1. Otwórz Edytor rejestru.
2. Rozwiń HKEY_LOCAL_MACHINE System CurrentControlset Usługi Lanmanserver Parametry Oddział.
3. Dwukrotnie pakiet dwukrotnie w parametrze AutosheServer, wprowadź 0 w polu Wartość i kliknij OK. Utwórz parametr DWORD).)
4. Teraz kliknij dwukrotnie parametr AutoShareWers, wprowadź 0 w polu Wartość i kliknij OK.
5. Zamknij Edytor rejestru.
6. Otwórz menu Start, wprowadź Coirpmgmt.msc w polu wyszukiwania i naciśnij ENTER. Otworzy się narzędzie do zarządzania komputerami. Można go również otwierać, klikając prawym przyciskiem myszy element komputera w menu Start i wybierz Zarządzanie.
7. W lewym okienku rozwiń pozycję programu serwisowego, a następnie udostępnione foldery i kliknij folder zasobów udostępnionych.
Lista wszystkich jest tutaj wyświetlana. wspólne foldery Na komputerze, niezależnie od tego, czy są ukryte, czy nie. Nawet jeśli problem administracyjny nie jest zmartwiony. Aby usunąć współdzielony zasób, używany jest polecenie użycia / usuwania netto, gdzie zasób jest nazwą wspólnego zasobu.
8. W celu ręcznego usuwania usług udostępnionych administracyjnych kliknij każdy z nich kliknij prawym przyciskiem myszy menu kontekstowe Wybierz Zapisz Udostępnij. W oknach zapytań odpowiedz tak.
Tutaj możesz usunąć wszystkie ukryte zasoby współdzielone, z wyjątkiem następujących trzech:
1RC $, co oznacza komunikację między procesową. Ten wspólny zasób służy do zdalnego zarządzania komputera. Udowodniono, że przełamanie komputera przez całkowitego zasobu 1 Trace $ jest możliwe, ale jedynym sposobem wyłączenia go jest na zawsze, aby zablokować wspólnego dostępu do dowolnych plików. Możesz tymczasowo zatrzymać całkowity dostęp do zasobu 1-Windows $ - Windows nadal odtworzyć połączenie po następnym uruchomieniu;
Wydrukować. Ten wspólny zasób służy do wymiany plików sterowników drukarki otoczonych tam, gdzie znajduje się udostępniona drukarka. Chociaż teoretycznie ten wspólny folder może być również używany w złośliwych celach, lepiej nie wyłącza go, jeśli wspólna drukarka jest podłączona do komputera;
wwwroot $. Ten wspólny zasób jest obecny na liście, gdy komputer jest zainstalowany oprogramowanie Microsoft Internet. Serwer informacji. Zmieni go, jeśli komputer jest używany jako serwer internetowy lub platforma rozwoju oprogramowania sieciowego.
9. Po zakończeniu ponowne uruchom system Windows. Otwórz narzędzie zarządzania komputerami, aby upewnić się, że wspólne zasoby administracyjne nie zbuntowały się z popiołu.
Niektórzy administratorzy nie zatwierdzają takiego podejścia. W końcu ukryte środki udostępnione administracyjne są wymyślane nie tylko tak. Pozwalają administratorom sieci do instalowania programów, wykonywać defragmentację dysku, odnoszą się do rejestru i zdalnie wykonać inne czynności konserwacyjne komputera. Jednak zadaj sobie pytanie, czy często to robisz?
Administracyjne wspólne zasoby potrzebują również funkcji. Poprzednie wersje. Wyłącz dostęp społeczności administracyjnych, a karta poprzednich wersji w oknie Właściwości dowolnego pliku zostanie oczyszczona. Ponadto powiem ci, jak wyłączyć otwór w zabezpieczeniach, oszczędzając możliwość dostępu do poprzednich wersji.
Jeśli wciąż się wahasz, pamiętaj o tym hasła Windows może zostać złamany przez wiele sposobów. Czy problem jest teraz oczywisty? Jeśli komputer nie jest zawarty w sieci korporacyjnej, a nigdy nie uciekasz pilot, a następnie opuszczenie lochronu otwarte, nie nabywasz niczego - możesz stracić wszystko.
Miło jest czuć się ", że na świecie, w którym ciągle musisz się martwić o oprogramowanie szpiegujące, phishing i próby włamania sieci bezprzewodowych, istnieje coś stałego - jak wcześniej, system Windows przyjazny otwiera drzwi dla wszystkich tych zagrożeń. Jesteś taki miły, że po prostu wyjdziesz z siebie z myślą o tym.
Okazuje się, że każdy Windows 7 ma tajne przejście, przez który każdy może dostać się do dowolnego pliku na komputerze; Ta luka istnieje również w systemie Windows 2000, XP i Vista.
Domyślnie otwarty dostęp do dysków twardych. Wszyscy zrozumiałeś wszystko, do wszystkich dysków twardych możesz skontaktować się z zewnątrz.
Co gorsza, połączenia te są ukryte, czyli dyski nie są wyświetlane w folderze Eksploratora Windows (Network), a zatem większość użytkowników nie podejrzewają nawet zagrożenia, które są narażone.
Aby ukryć dowolny wspólny folder, podczas tworzenia wspólnego zasobu, dodaj $ Symbol do swojej nazwy - na przykład Desktop $. Teraz, aby odnieść się do tego folderu, wprowadź ścieżkę UNC w pasku adresu (na przykład, \\\\ Xander Desktop $) W pasku adresu (na przykład naciśnij Enter.
Możesz sprawdzić swój komputer: Otwórz Eksplorator Windows (nawet lepiej - Otwórz Eksplorator Windows na innym komputerze w sieci) i wprowadź nazwę komputera w pasku adresu, a następnie nazwa udziału administracyjnego dla dysku z:, dla przykład:
your_computer z $
i naciśnij ENTER. Jeśli zawartość się otworzyła dysk twardyTak więc na komputerze dozwolony jest dostęp administracyjny do wspólnych zasobów. (Lista wszystkich folderów udostępnionych - ukrytych i otwartych - można oglądać za pomocą narzędzia zarządzania komputerami, które zostaną omówione dalej).
Przypuszczalnie ustawienia domyślne okna 7 Zakaz dostęp do sieci do administracyjnych zasobów współdzielonych. Jeśli udało Ci się zobaczyć zawartość wspólnego zasobu z $ od komputera, ale nie od innych, oznacza to, "Twój komputer nie zagraża niczym z tego punktu widzenia. Ale nie bądź zaskoczony, jeśli zobaczysz zawartość swojego dysk z: z innego komputera w sieci. Microsoft zapewnia, że \u200b\u200brozpoczęła tę dziurę, ale praktyka dowodzi odwrotnie. W jaki sposób prowadzić dostęp administracyjny do wspólnych zasobów, ale ukrywają je zdalne komputery, Rozmawia w następnej podsekcji.
Niestety, aby wyłączyć wspólne zasoby administracyjne, niewystarczające, aby wyłączyć zdalny dostęp do dysków. Musisz wyłączyć mechanizm, który automatycznie zezwala na to za każdym razem, gdy komputer jest włączony. Wykonaj następujące czynności:
1. Otwórz Edytor rejestru (patrz rozdział 3).
2. Rozwiń HKEY_LOCAL_MACHINE System CurrentControlset Usługi Lanmanserver Parametry Oddział.
4. Teraz dwukrotnie kliknij na parametr AutoShareWers, wprowadź 0 w polu Wartość (dane wartości) i kliknij OK. (I znowu, jeśli nie ma takiego parametru, utwórz to podobne polecenie.)
5. Zamknij Edytor rejestru.
6. Otwórz menu Start, wprowadź compmgmt.msc w polu wyszukiwania i naciśnij ENTER. Otwiera się zarządzanie komputerem (zarządzanie komputerem). Można go również otwierać, klikając prawym przyciskiem myszy komputera (komputera) w menu Start i wybierz Zarządzaj (Zarządzaj).
7. W lewym okienku rozszedł element narzędzi systemowych (narzędzia systemowe), a następnie udostępnione foldery (foldery udostępniane) i kliknij folder akcji).
Tutaj lista wszystkich folderów publicznych na komputerze jest wyświetlany niezależnie od tego, czy są ukryte, czy nie. Nawet jeśli nie dbasz o problem wspólnych zasobów administracyjnych, narzędzie to wygodne jest stosowanie do śledzenia istniejących połączeń. Nawiasem mówiąc, lista wspólnych zasobów można oglądać Wiersz poleceńPoprzez polecenia widoku sieci / wszystkie polecenie Wlocalhost. Aby usunąć współdzielony zasób, używany jest polecenie użycia / usuwania netto, gdzie zasób jest nazwą wspólnego zasobu.
8. Aby ręcznie usunąć administracyjne zasoby udostępnione, kliknij każdy z nich (z $, D $, E $ etc.) Kliknij prawym przyciskiem myszy i w menu kontekstowym wybierz Zapisz udostępnianie (przestań udostępnianie). W oknach zapytań odpowiedź Tak (tak).
Tutaj możesz usunąć wszystkie ukryte zasoby współdzielone (to jest wszystko, nazwa, która kończy się znakiem dolara), z wyjątkiem następujących trzech:
Środowisko tive jest niewiele potrzebnych osób). Udowodniono, że przełamanie komputera przez całkowitego zasobu 1 Trace $ jest możliwe, ale jedynym sposobem wyłączenia go jest na zawsze, aby zablokować wspólnego dostępu do dowolnych plików. Możesz tymczasowo zatrzymać całkowity dostęp do zasobu $ -windows o $ -windows w każdym razie odtworzyć połączenie, gdy następny start;
wada szkodliwych celów, lepiej go nie odłączyć, jeśli powszechna drukarka jest podłączona do komputera;
p jest używany jako serwer internetowy lub platforma rozwoju oprogramowania sieciowego.
9. Po zakończeniu ponowne uruchom system Windows. Otwórz ponownie Utility Management Management (Management Computer), aby upewnić się, że wspólne zasoby administracyjne nie zbuntowały się z popiołów.
Niektórzy administratorzy nie zatwierdzają takiego podejścia. W końcu ukryte środki udostępnione administracyjne są wymyślane nie tylko tak. Pozwalają administratorom sieci do instalowania programów, wykonywać defragmentację dysku, odnoszą się do rejestru i zdalnie wykonać inne czynności konserwacyjne komputera. Jednak zadaj sobie pytanie, czy często to robisz?
Administracyjne wspólne zasoby potrzebują również funkcji Poprzednie wersje (poprzednie wersje) (stwierdzono w sekcji "Powrót do przeszłości - użyj punktów odzyskiwania i kopie cienia"). Wyłącz dostęp społeczności administracyjnych, a poprzednia karta wersji (poprzednie wersje) w oknie Właściwości dowolnego pliku zostanie oczyszczone. Ponadto powiem ci, jak wyłączyć otwór w zabezpieczeniach, oszczędzając możliwość dostępu do poprzednich wersji.
Jeden z zadań administracji systemowej sieć korporacyjna - Kontrola dostępu. W szczególności dostęp do komputerów z uprawnieniami administratora powinno być sztywno regulowane.
WIĘC czasy systemu Windows 2000 i Windows XP Istnieje wbudowane konto lokalne, które tworzy wiele problemów do sterowania dostępem: jedno hasło dla setek lub tysięcy komputerów znanych dla wielu osób bez możliwości zmiany go przez długie lata - kłopoty! Od dawna zaleca się zmienić nazwę lub wyłączyć to konto i stworzyć własne. To utrudnia wdrożenie ataków przy użyciu lokalnych naukowców administracyjnych, ale nie wyklucza takich zagrożeń.
Niezawodem temu wymieniono środki na okresową zmianę hasła lokalnego konta administratora. Dzięki nim możesz rozwiązać wiele problemów, ale nie wszystkie. Na przykład, jeśli istnieje kilka grup personelu serwisowego, a polityka przedsiębiorstwa przepisuje swoje lokalne konto administracyjne?
Ale wróćmy do zagrożeń. Jest jasne, że posiadanie lokalny dostęp Do komputera napastnik może włamać się do systemu windows Security., Uzyskaj dostęp do lokalnego hasła administratora (lub innego konta administracyjnego) i użyj go do łączenia się z innymi komputerami w sieci.
Jedyny sposób na zakaz zdalne połączenie Do komputera przy użyciu lokalnego wpisu administracyjnego, należy określić konto konta w "Deponować dostęp do tego komputera z sieci" Polityka (i ewentualnie "odmówić za pomocą zdalnych usług pulpitu"). Jeśli istnieje wiele takich nagrań konta, będziesz musiał wymienić je wszystkie w polityce grupy. I to jest już czynnik ludzki i istnieje szansa, że \u200b\u200bw konfiguracji będzie błędne.
Dobrą wiadomością jest to, zaczynając od wersja Windows. Wdrożony 8.1 / 2012 R2 nowa okazja: Nie możesz wymienić lokalnych kontaI określ wspólny SID dla wszystkich. Takie SIDS dwa: "Wszystkie konta lokalne" i "Wszystkie lokalne konta administracyjne":
S-1-5-113: NT Urząd
S-1-5-114: NT Urząd Lokalny i członek grupy Administratorzy
Dobrą wiadomością jest również, że ta funkcja jest przenoszona w systemie Windows 7/8/2008 R2 / 2012 (KB 2871997).
Należy zauważyć kolejny prosty sposób na częściową ochronę przed rozważanym zagrożeniem - Faerwal. Istnieją dwa punkty.
- Przez zasady grupy Możesz określić z których adresów lub sieci można wykonać zdalne połączenie z interfejsami sterowania komputera. Z reguły polityka bezpieczeństwa Spółki przepisuje, że komputery administratora są przynajmniej w specjalnej sieci zarządzania, a nawet na sztywno podanych adresach.
- Oddzielnie konieczne jest zwrócenie uwagi na zezwolenie na połączenie z kulkami znajdującymi się na komputery osobiste. Nie ma ogólnego rozwiązania. Ale zazwyczaj polityka firmy w tym zakresie jest sztywna - bez własnej piłki. Jeśli jest dozwolony, tylko dostęp do piłek administracyjnych, a to musi być dozwolone wyłącznie do administratorów określonych w klauzuli 1. Ale jeśli są udostępnione drukarki na komputerach osobistych, jedynym prostym sposobem, aby umożliwić go bez niszczenia systemu ochrony, jest dodanie pozwolenia (reguły) dla sieci lokalnej (w przeciwnym razie użytkownicy nie będą mogli połączyć udostępnione drukarki z sąsiedniego komputera).
I ostatni dodatek. Nie zapomnij o pro