GirişYerel disklere idari erişim. Windows'a uzaktan idari erişim
Yerel Yönetici grubuna ait kullanıcının altındaki Windows 10'lu bir bilgisayarda varsayılan yönetim toplarına (bir dolarla) uzaktan bağlanmanın mümkün olmadığı için. Ayrıca, entegre yerel yönetici hesabı () altında, böyle bir erişim çalışıyor.
Sorunun nasıl göründüğü hakkında biraz daha fazla. Uzak bir bilgisayarla çalışıyorum dahili idari kaynaklara dönüşecek. windows bilgisayarı 10'dan oluşan 10 Çalışma Grubu (bir güvenlik duvarı bağlantısı kesilmiş) yani:
- \\\\ win10_pc \\ c $
- \\\\ win10_pc \\ d $
- \\\\ win10_pc \\ ipc $
- \\\\ win10_pc \\ admin $
Yetkilendirme penceresinde, yerel grupta oluşan hesap adını ve şifreyi giriyorum. windows yöneticileri 10, erişim hatasının göründüğü (erişim reddedildiği). Aynı zamanda, paylaşılan ağ dizinlerine ve Windows 10'daki yazıcılara erişim normal çalışıyor. İdari kaynaklara yerleşik yönetici hesabının altındaki erişim de çalışır. Bu bilgisayar Active Directory etki alanına dahil edilirse, daha sonra Yönetici Hakları ile etki alanı hesapları altında Yönetici Toplarına erişim de engellenmez.
Dava, UAC'de görünen güvenlik politikasının başka bir yönündedir - sözde Uzak UAC (Yerel girişlerin ve Microsoft hesaplarının erişimini filtreleyen ve bu hesaplara uzak idari erişimi engelleyen, yerel girişlerin ve Microsoft hesaplarının erişimini filtreleyen (uzaktaki bağlantılar için hesapların kontrolü). Bir etki alanı hesabına erişirken, böyle bir kısıtlama uygulanmaz.
Uzaktaki UAC'yi oluşturarak devre dışı bırakın sistem kayıt defteri Parametre
Konsey. Bu işlem, sistem güvenliği seviyesini hafifçe azaltır.
Not. Belirtilen bir anahtar oluşturma yalnızca bir komut olabilir.
rEG "HKLM \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System" / v "localAccountTToenFilterPolicy" / T REG_DWORD / D 1 / F ekleyin
İndirdikten sonra, Windows 10 bilgisayardaki C $ İdari Katalog dizinini uzaktan açın. Yerel Yöneticiler grubunda bulunan bir kaydına giriş yapın. C: \\ diskinin içeriğinde bir iletken penceresi açılmalıdır.
Not. Uzaktan kumandadaki diğer işlevsellik windows Yönetimi 10, şimdi de dahil olmak üzere, bir yapışmayı kullanarak bir bilgisayara uzaktan bağlanabilirsiniz. Bilgisayar yönetimi. (Bilgisayar yönetimi).
Dolayısıyla, loalaccounttokenfilterpolicy parametresini kullanmanın nasıl kullanıldığını uzaktan erişim Tüm Yerel Windows Bilgisayar Yöneticileri için Gizli Yönetici Kaynakları için. Bu talimat Ayrıca Windows 8.x, 7 ve Vista'ya da uygulanabilir.
Dünyada sürekli endişelenmen gereken dünyada hissetmek güzel casus yazılım, Kimlik Avı ve Hacking Girişimleri kablosuz Ağlar, kalıcı bir şey var - daha önce olduğu gibi, Windows'un dostu tüm bu tehditler için kapıları açar. Sadece kendimden bir düşünceden çıktığın için çok güzelsin.
Her bir Windows 7'nin, herkesin bilgisayarınızdaki herhangi bir dosyaya ulaşabileceği gizli bir geçişe sahip olduğu ortaya çıktı; Bu güvenlik açığı ayrıca Windows 2000, XP ve Vista'da da mevcuttur.
Bilgisayardaki sabit disklere varsayılan olarak açık genel erişim. Hepiniz her şeyi anladınız, tüm sabit disklere dışarıya başvurabileceğiniz. Daha kötü, bu bağlantılar gizlenmiştir, yani diskler Windows Gezgini Ağ Klasöründe görüntülenmez ve bu nedenle çoğu kullanıcı, verilerinin hangi tehdit oluşturduğundan şüphelenmez.
Herhangi bir ortak klasörü gizlemek için, paylaşılan bir kaynak oluştururken, adına bir $ sembol ekleyin - örneğin, masaüstleri. Şimdi bu klasörle iletişime geçmek için girin adres satırı Windows Gezgini UNC yolu ve Enter tuşuna basın.
Bilgisayarınızı kontrol edebilirsiniz: Açık Windows Gezgini ve bilgisayarınızın adını adres çubuğunda ve ardından disk için yönetici genel kaynağının adı: Örneğin:
\\\\ Your_computer \\ C $ ve Enter tuşuna basın. Açılırsa İçerik zor Disk, bilgisayarınızda, paylaşılan kaynaklara yönetici erişimine izin verilir.
Ne yazık ki, idari paylaşılan kaynakları devre dışı bırakmak için, disklere uzaktan erişimi devre dışı bırakmak için yeterli değil. Bilgisayarın her açıldığında otomatik olarak izin veren mekanizmayı devre dışı bırakmanız gerekir. Aşağıdakileri yapın:
1. Kayıt Defteri Düzenleyicisi'ni açın.
2. HKEY_LOCAL_MACHINE \\ SYSTEME \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters Şubesini genişletin.
3. AutoSharServer parametresinde iki kez çift paket, değer alanına 0 girin ve Tamam'ı tıklatın. Bir DWORD parametresi oluşturun).)
4. Şimdi AUTOSHAREWKS parametresine çift tıklayın, değer alanına 0 girin ve Tamam'ı tıklayın.
5. Kayıt Defteri Düzenleyicisi'ni kapatın.
6. Başlat menüsünü açın, arama alanındaki Coirpmgmt.msc'yi girin ve ENTER tuşuna basın. Bilgisayar yönetimi yardımcı programı açılır. Başlat menüsündeki bilgisayar öğesine sağ tıklatarak da açılabilir ve Yönetim'i seçin.
7. Sol bölmede, Servis Programı öğesini, ardından paylaşılan klasörleri genişletin ve Paylaşılan Kaynaklar klasörünü tıklatın.
Hepsinin listesi burada görüntülenir. ortak klasörler Bir bilgisayarda, gizli olup olmadıklarına bakılmaksızın. İdari problemi endişelenmemiş olsa bile. Paylaşılan bir kaynağı silmek için, kaynağın ortak kaynağın adı olduğu net kullanım / silme komutu kullanılır.
8. İdari paylaşılan kaynakları manuel olarak silmek için, her birine sağ tıklayın ve bağlam menüsü Kaydet Paylaş'ı seçin. Her iki sorgu penceresinde, Cevap Evet.
Burada, aşağıdaki üç kişi hariç, herhangi bir gizli paylaşılan kaynakları silebilirsiniz:
1RC $, bu da arası iletişim anlamına gelir. Bu paylaşılan kaynak, bilgisayarı uzaktan yönetmek için kullanılır. Bununla birlikte, bir bilgisayarın toplam 1 izleme kaynağı yoluyla kırılmasının mümkün olduğu kanıtlanmıştır, ancak, herhangi bir dosyaya ortak erişimi yasaklamak için sonsuza dek sürdürmenin tek yoludur. Toplam 1-Windows Kaynağına toplam erişimi geçici olarak durdurabilirsiniz - Windows, bir sonraki başladığınızda bağlantıyı hala yeniden oluşturabilirsiniz;
Yazdır. Bu paylaşılan kaynak, paylaşılan bir yazıcının bulunduğu yerdeki yazıcı sürücüsü dosyalarını değiştirmek için kullanılır. Teorik olarak, bu ortak klasör de kötü amaçlı amaçlarla kullanılabilir, ortak bir yazıcı bilgisayarınıza bağlıysa, kapatmamak daha iyidir;
wwwroot $. Bu paylaşılan kaynak, bilgisayar yüklendiğinde listede bulunur. yazılım Microsoft Internet Bilgi sunucusu. Bilgisayarınız bir Web sunucusu veya ağ yazılımı geliştirme platformu olarak kullanılıyorsa onu değiştirir.
9. Tamamlandığında, Windows'u yeniden başlatın. İdari paylaşılan kaynakların küllerden isyan etmediğinden emin olmak için bilgisayar yönetimi yardımcı programını açın.
Bazı yöneticiler böyle bir yaklaşımı onaylamazlar. Sonunda, Gizli İdari Paylaşılan Kaynaklar, tıpkı böyle değil icat edilir. Ağ yöneticilerinin programları yüklemelerine izin verir, disk birleştirme, kayıt defterine bakın ve diğer bilgisayar bakım faaliyetlerini uzaktan yürütürler. Ancak kendinize sorun, sık sık yapar mısın?
İdari paylaşılan kaynaklar da fonksiyonlara ihtiyaç duyar. Önceki sürümler. İdari toplulukların erişimi devre dışı bırakın ve herhangi bir dosyanın özellikleri penceresindeki önceki sürümler sekmesi temizlenir. Ayrıca, güvenlik altındaki deliğin nasıl kapatılacağını, önceki sürümlere erişme yeteneğini kaydetmeyi söyleyeceğim.
Hala tereddüt ediyorsan, bunu unut. windows şifreleri çeşitli yollarla kırılabilir. Sorun şu anda açık mı? Bilgisayarınız kurumsal ağa dahil edilmemişse ve asla başvurmazsanız uzaktan kumanda, sonra boşluğu açık bırakarak, hiçbir şey edemezsiniz - her şeyi kaybedebilirsiniz.
"Casus yazılımlar, kimlik avı ve kablosuz ağları kesmek için endişelenmeniz gereken dünyada, sürekli bir şey var - daha önce olduğu gibi, Windows'un dostu tüm bu tehditler için kapıları açar. Sadece kendimden bir düşünceden çıktığın için çok güzelsin.
Her bir Windows 7'nin, herkesin bilgisayarınızdaki herhangi bir dosyaya ulaşabileceği gizli bir geçişe sahip olduğu ortaya çıktı; Bu güvenlik açığı ayrıca Windows 2000, XP ve Vista'da da mevcuttur.
Varsayılan olarak, sabit disklere aksesuar erişimi açıktır. Hepiniz her şeyi anladınız, tüm sabit disklere dışarıya başvurabileceğiniz.
Daha kötü, bu bağlantılar gizlenmiştir, yani diskler Windows Gezgini (Ağ) klasöründe görüntülenmez ve bu nedenle çoğu kullanıcı, verilerinin hangi tehditlerin ortaya çıktığından şüphelenmez.
Herhangi bir ortak klasörü gizlemek için, paylaşılan bir kaynak oluştururken, adına bir $ sembol ekleyin - örneğin, masaüstü $. Şimdi, bu klasöre atıfta bulunmak için, Adres çubuğundaki adres çubuğuna (örneğin, \\\\ Xander \\ Desktop $) UNC yolunu girin (örneğin, ENTER tuşuna basın.
Bilgisayarınızı kontrol edebilirsiniz: Windows Gezgini'ni (hatta daha iyi - Ağdaki başka bir bilgisayarda Windows Gezgini'ni açın) ve bilgisayarınızın adını adres çubuğuna ve ardından disk için yönetici paylaşımının adını aşağıdakileri olan adını girin. misal:
\\\\ your_computer \\ $ ile
ve ENTER tuşuna basın. İçindekiler açılırsa hard diskBu nedenle, bilgisayarınızda, paylaşılan kaynaklara yönetici erişimine izin verilir. (Tüm paylaşılan klasörlerin listesi - Gizli ve açık - daha fazla tartışılacak olan bilgisayar yönetimi yönetimi yardımcı programı kullanılarak görüntülenebilir.)
Muhtemelen ayarlar windows varsayılanı 7 yasak ağ Girişi İdari paylaşılan kaynaklara. Paylaşılan kaynağın içeriğini $ bilgisayarınızdan, ancak başkalarından değil, "Bilgisayarınız bu açıdan hiçbir şeyi tehdit etmiyor, ancak içeriğini görürseniz şaşırmayın" anlamına gelir. Disk: Ağdaki başka bir bilgisayardan. Microsoft, bu deliğe girmesini sağlar, ancak pratikteki tam tersidir. İdari erişimin paylaşılan kaynaklara nasıl tutulacağını, ancak bunları gizlemesini sağlar. uzak bilgisayarlar, Bir sonraki alt bölümünde konuşur.
Ne yazık ki, idari paylaşılan kaynakları devre dışı bırakmak için, disklere uzaktan erişimi devre dışı bırakmak için yeterli değil. Bilgisayarın her açıldığında otomatik olarak izin veren mekanizmayı devre dışı bırakmanız gerekir. Aşağıdakileri yapın:
1. Kayıt Defteri Düzenleyicisi'ni açın (bkz. Bölüm 3).
2. HKEY_LOCAL_MACHINE \\ SYSTEME \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters Şubesini genişletin.
4. Şimdi AUTOSHAREWKS parametresine çift tıklayın, Değer alanına (değer verileri) 0 girin ve Tamam'ı tıklatın. (Ve yine, böyle bir parametre yoksa, benzer bir komut oluşturun.)
5. Kayıt Defteri Düzenleyicisi'ni kapatın.
6. Başlat menüsünü açın, Arama alanındaki COMPMGMT.MSC'yi girin ve ENTER tuşuna basın. Bilgisayar Yönetimi (Bilgisayar Yönetimi) açılır. Başlat menüsündeki bilgisayarda (bilgisayar) sağ tıklatarak da açılabilir ve Yönet (Yönet) seçeneğini belirleyin.
7. Sol bölmede, Sistem Araçları öğesini (sistem araçları), ardından paylaşılan klasörleri (paylaşılan klasörler) genişletin ve Paylaşımlar) klasörünü tıklayın.
Burada, bilgisayardaki tüm ortak klasörlerin listesi, gizli olup olmadığına bakılmaksızın görüntülenir. İdari paylaşılan kaynaklar sorununu umursamıyor olsanız bile, bu araç mevcut bağlantıları izlemek için uygundur. Bu arada, paylaşılan kaynakların listesi görüntülenebilir Komut satırıNet görünümüne / tüm wlocalhost komutunu yöneterek. Paylaşılan bir kaynağı silmek için, kaynağın ortak kaynağın adı olduğu net kullanım / silme komutu kullanılır.
8. İdari paylaşılan kaynakları manuel olarak silmek için, her birine tıklayın ($, D $, e, e vb.) Sağ tıklatın ve içerik menüsünde, Paylaşım Kaydet seçeneğini belirleyin (Paylaşımı Durdurun). Her iki sorgu penceresinde, Cevap Evet (Evet).
Burada, aşağıdaki üç kişi hariç, herhangi bir gizli paylaşılan kaynakları (yani, her şey, her şey, her şey, adı olan her şey) silebilirsiniz:
tIVE ortamı az kişi ihtiyacıdır). Bununla birlikte, bir bilgisayarın toplam 1 izleme kaynağı yoluyla kırılmasının mümkün olduğu kanıtlanmıştır, ancak, herhangi bir dosyaya ortak erişimi yasaklamak için sonsuza dek sürdürmenin tek yoludur. $ -Windows kaynağına toplam erişimin geçici olarak -Windows kaynağına geçici olarak durdurabilirsiniz. Yine de, bir sonraki başladığınızda bağlantıyı yeniden oluşturun;
kötü niyetli amaçlarla kusur, ortak bir yazıcı bilgisayarınıza bağlıysa, onu çıkarmamak daha iyidir;
p, bir Web sunucusu veya ağ yazılımı geliştirme platformu olarak kullanılır.
9. Tamamlandığında, Windows'u yeniden başlatın. İdari paylaşılan kaynakların küllerden isyan etmediğinden emin olmak için bilgisayar yönetimi (bilgisayar yönetimi) yardımcı programını tekrar açın.
Bazı yöneticiler böyle bir yaklaşımı onaylamazlar. Sonunda, Gizli İdari Paylaşılan Kaynaklar, tıpkı böyle değil icat edilir. Ağ yöneticilerinin programları yüklemelerine izin verir, disk birleştirme, kayıt defterine bakın ve diğer bilgisayar bakım faaliyetlerini uzaktan yürütürler. Ancak kendinize sorun, sık sık yapar mısın?
İdari paylaşılan kaynaklar ayrıca önceki sürümlere (önceki sürümler) işlevlere ihtiyaç duyar (bu "Geçmişe geri döndü - kurtarma noktalarını kullandı ve gölge kopyalar"). Yönetim topluluklarını devre dışı bırakın ve herhangi bir dosyanın Özellikler penceresindeki önceki sürüm sekmesi (önceki sürümler) temizlenir. Ayrıca, güvenlik altındaki deliğin nasıl kapatılacağını, önceki sürümlere erişme yeteneğini kaydetmeyi söyleyeceğim.
Sistem yönetiminin görevlerinden biri Şirket ağı - Giriş kontrolu. Özellikle, yönetici hakları olan bilgisayarlara erişim sert bir şekilde düzenlenmelidir.
YANİ windows zamanları 2000 ve Windows XP, erişimi kontrol etmek için birçok sorun yaratan yerleşik bir yerel yönetici hesabı vardır: uzun yıllar boyunca değiştirme olasılığı olmadan birçok insan için bilinen yüzlerce veya binlerce bilgisayar için bir şifre - sorun! Uzun zamandır yeniden adlandırılması veya bu hesabı kapatması ve kendinizinkini oluşturmanız önerildi. Bu, yerel idari bilim adamlarını kullanarak saldırıların uygulanmasını zorlaştırır, ancak bu tür tehditleri dışlamaz.
Çok uzun zaman önce, yerel yönetici hesabının bir şifresinin periyodik bir değişikliği için bir araç değiştirildi. Bununla birlikte, birçok sorunu çözebilir, ama hepsi değil. Örneğin, birkaç servis personeli grubu ve yerel idari hesabına sahip olmak için kurumsal politika reçetesi varsa?
Ama hadi tehditlere dönelim. Bu açıktır, yerel erisim Bilgisayara, saldırgan sistemi hackleyebilir windows güvenliği, Yerel Yönetici Parolası Nakitine (veya diğer idari hesaplara) erişin ve ağ üzerinden diğer bilgisayarlara bağlanmak için kullanın.
Yasaklamanın tek yolu uzak bağlantı Yerel bir yönetim girişini kullanan bir bilgisayara, "bu bilgisayara ağdan inkar edideki erişimin" bir hesabını belirtmektir (ve muhtemelen uzak masaüstü hizmetleri aracılığıyla oturum açın "). Bu tür hesap kayıtları varsa, hepsini Grup İlkesi'nde listelemek zorunda kalacaksınız. Ve bu zaten bir insan faktörü ve konfigürasyonda hata olacağı bir ihtimal var.
İyi haber şu ki, windows sürümü 8.1 / 2012 R2, uygulandı yeni fırsat: Yerel listeleyemezsiniz hesapVe hepsi için ortak SID'yi belirtin. Böyle SIDS: "Tüm Yerel Hesaplar" ve "Tüm Yerel İdari Hesaplar":
S-1-5-113: NT otoritesi \\ Yerel hesap
S-1-5-114: NT Yetkilisi \\ Yerel Hesap ve Yöneticiler Grubu Üyesi
İyi haber ayrıca, bu özelliğin Windows 7/8/2008 R2 / 2012'de (KB 2871997) ile taşınmasıdır.
Dikkate alınan tehditlere karşı kısmi korumanın başka bir basit yolu belirtilmelidir - Faerwal. İki puan var.
- Üzerinden grup ilkesi Hangi adreslerin veya ağlardan, bilgisayar kontrol arayüzlerine uzak bir bağlantı yapabileceğinizi belirleyebilirsiniz. Kural olarak, şirketin güvenlik politikası, yöneticilerin bilgisayarların en azından özel bir yönetim ağında veya hatta sertçe verilen adreslerde olduğunu öngörür.
- Ayrı ayrı, üzerinde bulunan toplara bağlanma iznine dikkat etmek gerekir. kişisel bilgisayarlar. Genel bir çözüm yok. Ancak genellikle şirketin bu konudaki politikası sert - özel bir top değildir. İzin verilirse, yalnızca idari toplara erişim ve bunun yalnızca Madde 1'de belirtilen yöneticilere izin verilmelidir. Ancak, kişisel bilgisayarlarda paylaşılan yazıcılar varsa, koruma sistemini tahrip etmeden izin vermenin tek basit yolu, yerel ağ için izin (kural) eklemektir (aksi takdirde kullanıcılar, paylaşılan yazıcıları komşu bir bilgisayardan bağlayamayacaklar).
Ve son ek. Pro'yu unutma