girişYerel sürücülere yönetici erişimi. Windows'a Uzaktan Yönetim Erişimi
Yerel yöneticiler grubuna üye bir kullanıcı altında bir Windows 10 bilgisayarında varsayılan yönetim toplarına (bir dolar olan) uzaktan bağlanmanın mümkün olmadığı gerçeğiyle karşı karşıya kaldı. Ayrıca, yerleşik yerel yöneticinin () hesabı altında bu tür erişim çalışır.
Sorunun nasıl göründüğüne dair biraz daha ayrıntı. Uzak bir bilgisayardan yerleşik yönetim kaynaklarına erişmeye çalışıyorum Windows bilgisayar 10 oluşan çalışma Grubu(güvenlik duvarı devre dışıyken) şu şekilde:
- \\ win10_pc \ C $
- \\ win10_pc \ D $
- \\ win10_pc \ IPC $
- \\ win10_pc \ Yönetici $
Yetkilendirme penceresinde local grubundaki bir hesabın adını ve şifresini giriyorum. Windows yöneticileri 10, erişim hatasına neden olur (Erişim reddedildi). Aynı zamanda, Windows 10'da paylaşılan ağ dizinlerine ve yazıcılara erişim iyi çalışıyor. Yerleşik yönetici hesabı altındaki yönetim kaynaklarına erişim de çalışır. Bu bilgisayar etki alanına dahilse Aktif Dizin, daha sonra yönetici haklarına sahip alan hesapları altında, yönetici toplarına erişim de engellenmez.
Mesele, UAC'de ortaya çıkan güvenlik politikasının başka bir yönüdür - sözde Uzak UAC(Uzak Bağlantılar için Kullanıcı Hesabı Denetimi), yerel hesapların ve Microsoft hesaplarının erişim belirteçlerini filtreleyerek bu tür hesaplara uzaktan yönetici erişimini engeller. Bir etki alanı hesabı altında erişirken, böyle bir kısıtlama uygulanmaz.
İçinde oluşturarak Uzak UAC'yi devre dışı bırakabilirsiniz. sistem kayıt defteri parametre
Tavsiye... Bu işlem sistemin güvenlik seviyesini biraz düşürür.
Not... Belirtilen anahtarı tek bir komutla oluşturabilirsiniz.
reg ekle "HKLM \ YAZILIM \ Microsoft \ Windows \ CurrentVersion \ Policies \ System" / v "LocalAccountTokenFilterPolicy" / t REG_DWORD / d 1 / f
İndirdikten sonra, Windows 10 bilgisayarınızda C $ yönetim dizinini uzaktan açmayı deneyin. Yerel yöneticiler grubunun üyesi olan bir hesabı kullanarak oturum açın. C: \ sürücüsünün içeriğiyle bir gezgin penceresi açılmalıdır.
Not... Uzaktan kumandanın diğer işlevleri kullanılabilir hale gelecektir. Windows yönetimi 10, artık bir çırpıda kullanarak bir bilgisayara uzaktan bağlanabilirsiniz Bilgisayar yönetimi(Bilgisayar kontrolü).
Böylece, izin vermek için LocalAccountTokenFilterPolicy parametresinin nasıl kullanıldığını anladık. uzaktan erişim Windows bilgisayarın tüm yerel yöneticileri için gizli yönetici kaynaklarına. Bu talimat Windows 8.x, 7 ve Vista için de geçerlidir.
Sürekli endişelenmen gereken bir dünyada bunu hissetmek güzel casus yazılım, kimlik avı ve bilgisayar korsanlığı girişimleri kablosuz Ağlar, kalıcı bir şey var - daha önce olduğu gibi, Windows'un kendisi tüm bu tehditlere kapılarını dostane bir şekilde açıyor. O kadar memnunsunuz ki, bunu düşündüğünüzde öfkenizi kaybediyorsunuz.
Her Windows 7'nin, herkesin bilgisayarınızdaki herhangi bir dosyaya erişebileceği gizli bir geçidi olduğu ortaya çıktı; bu güvenlik açığı Windows 2000, XP ve Vista'da da bulunmaktadır.
Varsayılan olarak, bilgisayarınızdaki sabit sürücüler paylaşılır. Doğru okudunuz, tüm sabit disklere dışarıdan erişilebilir. Daha da kötüsü, bu bağlantılar gizlidir, yani sürücüler Windows Gezgini'nin Ağ klasöründe gösterilmez ve bu nedenle çoğu kullanıcının verilerinin ne tür bir tehdit olduğu hakkında hiçbir fikri yoktur.
Herhangi bir paylaşılan klasörü gizlemek için, oluşturduğunuzda paylaşımın adına bir $ ekleyin - örneğin, Masaüstü Bilgisayarlar. Şimdi, bu klasöre erişmek için şunu yazın adres çubuğu Windows Gezgini'ni UNC yoluna getirin ve Enter'a basın.
Bilgisayarınızı kontrol edebilirsiniz: aç Windows gezgini ve adres çubuğuna bilgisayarınızın adını ve ardından C: sürücüsünün yönetimsel paylaşımının adını girin, örneğin:
\\ your_computer \ ile $ ve Enter'a basın. eğer açılırsa sert içeriği disk, bilgisayarınızda paylaşılan kaynaklara yönetici erişimine izin verildiği anlamına gelir.
Ne yazık ki, uzak disk erişimini devre dışı bırakmak, yönetici paylaşımlarını devre dışı bırakmak için yeterli değildir. Bilgisayar her açıldığında bunu otomatik olarak çözen mekanizmayı devre dışı bırakmak gerekir. Aşağıdakileri yapın:
1. Kayıt Defteri Düzenleyicisi'ni açın.
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parametreler dalını genişletin.
3. Sağ bölmedeki AutoShareServer parametresine çift tıklayın, Değer alanına 0 girin ve Tamam'a tıklayın. DWORD Parametresi oluşturun).)
4. Şimdi AutoShareWks parametresine çift tıklayın, Değer alanına 0 girin ve Tamam'a tıklayın.
5. Kayıt Defteri Düzenleyicisi'ni kapatın.
6. Başlat menüsünü açın, arama kutusuna coirpmgmt.msc yazın ve Enter'a basın. Bilgisayar Yönetimi yardımcı programı açılır. Ayrıca Başlat menüsünde Bilgisayar'a sağ tıklayıp Yönet'i seçerek de açılabilir.
7. Sol bölmede, Yardımcı Programlar'ı ve ardından Paylaşımlar'ı genişletin ve Paylaşımlar klasörünü tıklayın.
Hepsinin bir listesi paylaşılan klasörler Gizli olup olmadıklarına bakılmaksızın bilgisayarda. İdari sorunu umursamıyorsanız bile. Bir paylaşımı silmek için, kaynağın paylaşımın adı olduğu net use / delete resource komutunu kullanın.
8. Yönetimsel paylaşımları manuel olarak silmek için her birine sağ tıklayın ve bağlam menüsü Paylaşımı Durdur'u seçin. Her iki sorgu penceresinde de Evet'i yanıtlayın.
Aşağıdaki üçü hariç tüm gizli Paylaşımlar buradan silinebilir:
1PC $, Prosesler Arası İletişim anlamına gelir. Bu paylaşım bilgisayarın uzaktan kontrolü için kullanılır. 1PC $ paylaşımı üzerinden bir bilgisayarı hacklemenin mümkün olduğu kanıtlanmıştır, ancak bunu devre dışı bırakmanın tek yolu, herhangi bir dosyaya paylaşılan erişimi kalıcı olarak yasaklamaktır. 1PC $ kaynağının paylaşımını geçici olarak durdurabilirsiniz - Windows, bir sonraki başlatılışında bağlantıyı yeniden oluşturmaya devam edecektir;
Yazdır. Bu paylaşım, paylaşılan bir yazıcının olduğu bir ortamda yazıcı sürücüsü dosyalarını değiştirmek için kullanılır. Teoride bu paylaşımlı klasör kötü amaçlar için de kullanılabilir, ancak bilgisayarınıza bağlı bir paylaşımlı yazıcınız varsa bunu devre dışı bırakmamak en iyisidir;
wwwroot $. Bu paylaşım, bilgisayarda yazılım Microsoft İnterneti Bilgi Sunucusu. Bilgisayarınız bir web sunucusu veya ağ yazılımı geliştirme platformu olarak kullanılıyorsa değiştirmeyin.
9. Bittiğinde, Windows'u yeniden başlatın. Yönetimsel paylaşımların küllerden doğmadığından emin olmak için Bilgisayar Yönetimi yardımcı programını yeniden açın.
Bazı yöneticiler bu yaklaşımı onaylamamaktadır. Ne de olsa bir sebepten dolayı gizli idari paylaşımlar yapıldı. Ağ yöneticilerinin programları yüklemesine, disk birleştirme gerçekleştirmesine, kayıt defterine erişmesine ve diğer bilgisayar bakım etkinliklerini uzaktan gerçekleştirmesine izin verirler. Ancak, kendinize sorun, bunu ne sıklıkla yapıyorsunuz?
İdari paylaşılan kaynaklar da gerekli işlevlerdir Önceki sürümler... Topluluk Yönetici Erişimini kapatın ve herhangi bir dosyanın Özellikler penceresindeki Önceki Sürümler sekmesi temizlenir. Ardından, önceki sürümlere erişme yeteneğini korurken bir güvenlik açığını nasıl kapatacağınızı göstereceğim.
Hala tereddüt ediyorsan, bunu hatırla Windows şifreleri birçok yönden kırılabilir. Sorun şimdi açık mı? Bilgisayarınız bir şirket ağının parçası değilse ve asla uzaktan kumanda, sonra, boşluğu açık bırakarak hiçbir şey elde edemezsiniz - ama her şeyi kaybedebilirsiniz.
"Casus yazılım, kimlik avı ve kablosuz bilgisayar korsanlığı girişimleri hakkında sürekli endişe duyulan bir dünyada, sabit bir şey olduğunu hissetmek güzel - daha önce olduğu gibi, Windows'un kendisi tüm bu tehditlere dostça bir şekilde kapı açıyor. O kadar memnunsunuz ki, bunu düşündüğünüzde öfkenizi kaybediyorsunuz.
Her Windows 7'nin, herkesin bilgisayarınızdaki herhangi bir dosyaya erişebileceği gizli bir geçidi olduğu ortaya çıktı; bu güvenlik açığı Windows 2000, XP ve Vista'da da bulunmaktadır.
Varsayılan olarak, bilgisayarınızdaki sabit sürücüler paylaşılır. Doğru okudunuz, tüm sabit disklere dışarıdan erişilebilir.
Daha da kötüsü, bu bağlantılar gizlidir, yani sürücüler Windows Gezgini'nin Ağ klasöründe görünmez, bu nedenle çoğu kullanıcı verilerinin ne tür bir tehdit olduğunu bile bilmez.
Herhangi bir paylaşılan klasörü gizlemek için paylaşımın adına $ ekleyin - örneğin, Desktop $. Şimdi, bu klasöre erişmek için, Windows Gezgini'nin adres çubuğuna UNC yolunu girin (örneğin, \\ Xander \ Desktop $) ve Enter'a basın.
Bilgisayarınızı kontrol edebilirsiniz: Windows Gezgini'ni açın (daha iyisi, ağdaki başka bir bilgisayarda Windows Gezgini'ni açın) ve adres çubuğuna bilgisayarınızın adını ve ardından C: sürücüsünün yönetimsel paylaşımının adını girin, örneğin:
\\ bilgisayarınız \ s $
ve Enter'a basın. İçerik açıldıysa hard disk bu, bilgisayarınızda paylaşılan kaynaklara yönetici erişimine izin verildiği anlamına gelir. (Gizli ve açık tüm paylaşılan klasörlerin listesi, daha sonra tartışılacak olan Bilgisayar Yönetimi yardımcı programı kullanılarak görüntülenebilir.)
Muhtemelen, ayarlar Windows varsayılanı 7 yasak Ağ Girişi idari paylara. $ paylaşımının içeriğini bilgisayarınızdan görüntüleyebiliyor, ancak başkalarından göremiyorsanız, o zaman "bilgisayarınız bu açıdan tehlikede değildir. Ancak C: sürücünüzün içeriğini başka bir sürücüden görürseniz şaşırmayın. ağdaki bilgisayar.Microsoft bu deliği kapattığını söylüyor, ancak uygulama tam tersini kanıtlıyor. uzak bilgisayarlar, bir sonraki alt bölümde tartışılmaktadır.
Ne yazık ki, uzak disk erişimini devre dışı bırakmak, yönetici paylaşımlarını devre dışı bırakmak için yeterli değildir. Bilgisayar her açıldığında bunu otomatik olarak çözen mekanizmayı devre dışı bırakmak gerekir. Aşağıdakileri yapın:
1. Kayıt Defteri Düzenleyicisi'ni açın (bkz. bölüm 3).
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parametreler dalını genişletin.
4. Şimdi AutoShareWks parametresine çift tıklayın, Değer verisi alanına 0 girin ve Tamam'a tıklayın. (Yine böyle bir parametre yoksa aynı komutla oluşturun.)
5. Kayıt Defteri Düzenleyicisi'ni kapatın.
6. Başlat menüsünü açın, arama kutusuna compmgmt.msc yazın ve Enter'a basın. Bilgisayar Yönetimi yardımcı programı açılır. Ayrıca Başlat menüsünde Bilgisayar'a sağ tıklayıp Yönet'i seçerek de açılabilir.
7. Sol bölmede, Sistem Araçları'nı, ardından Paylaşılan Klasörler'i genişletin ve Paylaşımlar klasörünü tıklayın.
Gizli olsun ya da olmasın, bilgisayardaki tüm paylaşılan klasörlerin bir listesi burada görüntülenir. İdari sorunla ilgilenmeseniz bile ortak kaynaklar, bu araç mevcut bağlantıları takip etmek için kullanışlıdır. Bu arada, paylaşılan kaynakların listesi şurada da görüntülenebilir: Komut satırı net view / all Wlocalhost komutunu çalıştırarak. Bir paylaşımı silmek için, kaynağın paylaşımın adı olduğu net use / delete resource komutunu kullanın.
8. Yönetimsel paylaşımları manuel olarak silmek için, her birine (C $, D $, E $, vb.) sağ tıklayın ve içerik menüsünden Paylaşımı Durdur'u seçin. Her iki istemde de Evet'i yanıtlayın.
Tüm gizli Paylaşımlar (yani, dolar işaretiyle biten her şey), aşağıdaki üçü dışında buradan silinebilir:
çok az insan buna ihtiyaç duyar). 1PC $ paylaşımı üzerinden bir bilgisayarı hacklemenin mümkün olduğu kanıtlanmıştır, ancak bunu devre dışı bırakmanın tek yolu, herhangi bir dosyaya paylaşılan erişimi kalıcı olarak yasaklamaktır. 1PC kaynağının paylaşımını geçici olarak durdurabilirsiniz.$ -Windows, bir sonraki başlatışınızda bağlantıyı yeniden oluşturacaktır;
kötü amaçlar için kullanın, bilgisayarınıza paylaşılan bir yazıcı bağlıysa devre dışı bırakmamak daha iyidir;
p, bir web sunucusu veya ağ yazılımı geliştirme platformu olarak kullanılır.
9. Bittiğinde, Windows'u yeniden başlatın. Yönetimsel paylaşımların küllerden doğmadığından emin olmak için Bilgisayar Yönetimi yardımcı programını yeniden açın.
Bazı yöneticiler bu yaklaşımı onaylamamaktadır. Ne de olsa bir sebepten dolayı gizli idari paylaşımlar yapıldı. Ağ yöneticilerinin programları yüklemesine, disk birleştirme gerçekleştirmesine, kayıt defterine erişmesine ve diğer bilgisayar bakım etkinliklerini uzaktan gerçekleştirmesine izin verirler. Ancak, kendinize sorun, bunu ne sıklıkla yapıyorsunuz?
Önceki Sürümler özelliği için de Yönetici Paylaşımları gereklidir (Geçmişte - Geri Yükleme Noktalarını Kullanma ve gölge kopyalar"). Topluluk yönetici erişimini kapatın ve herhangi bir dosya için Özellikler penceresindeki Önceki Sürümler sekmesi temizlenir. Ardından, önceki sürümlere erişme yeteneğini korurken bir güvenlik açığını nasıl kapatacağınızı göstereceğim.
Bir şirket ağındaki sistem yönetiminin görevlerinden biri erişim kontrolüdür. Özellikle, yönetici haklarına sahip bilgisayarlara erişim sıkı bir şekilde düzenlenmelidir.
İle Windows zamanları 2000 ve Windows XP'de yerleşik bir yerel yönetici hesabı vardır, bu da erişim kontrolü için birçok sorun yaratır: birçok kişi tarafından bilinen yüzlerce veya binlerce bilgisayar için bir parola, uzun yıllar boyunca değiştirme yeteneği olmadan bir felakettir! Bu hesabı yeniden adlandırmanız veya devre dışı bırakmanız ve kendinizinkini oluşturmanız uzun zamandır tavsiye edilmektedir. Bu, yerel yönetim kayıtları kullanılarak saldırıların gerçekleştirilmesini zorlaştırır, ancak bu tür tehditleri dışlamaz.
Çok uzun zaman önce, yerel yönetici hesabının şifresini periyodik olarak değiştirmek için bir araç vardı -. Birçok sorunu çözebilir, ancak hepsini değil. Örneğin, birkaç hizmet personeli grubu varsa ve kuruluş politikası her grubun kendi yerel yönetim hesabına sahip olmasını gerektiriyorsa ne olur?
Ama tehditlere geri dönelim. sahip olduğu açıktır yerel erisim bilgisayara, bir saldırgan sistemi hackleyebilir Windows güvenliği, yerel yöneticinin (veya başka bir yönetici hesabının) parola önbelleğine erişin ve bunu ağ üzerinden diğer bilgisayarlara bağlanmak için kullanın.
yasaklamanın tek yolu uzak bağlantı yerel yönetim kaydı kullanan bir bilgisayara, bu, "Bu bilgisayara ağdan erişimi engelle" ilkesinde hesabın SID'sini belirtmek içindir (ve muhtemelen "Uzak Masaüstü Hizmetleri aracılığıyla oturum açmayı reddet"). Bu tür birçok hesap varsa, hepsini Grup İlkesi'nde listelemeniz gerekecektir. Ve bu zaten bir insan faktörüdür ve konfigürasyonda hatalar olma olasılığı vardır.
İyi haber şu ki, Windows sürümleri 8.1 / 2012 R2, uygulandı yeni fırsat: yerel listelemenize gerek yok hesaplar, ve tümü için ortak SID'yi belirtin. Bu tür iki SID vardır: "tüm yerel hesaplar" ve "tüm yerel yönetim hesapları":
S-1-5-113: NT AUTHORITY \ Yerel hesap
S-1-5-114: NT AUTHORITY \ Yerel hesap ve Yöneticiler grubunun üyesi
İyi haber şu ki, bu özellik Windows 7/8/2008 R2 / 2012'ye taşındı (KB 2871997).
Dikkate alınan tehdide karşı kısmi korumanın daha basit bir yolunun daha olduğuna dikkat edilmelidir - bir güvenlik duvarı. İki nokta var.
- Üzerinden grup politikaları bilgisayarın kontrol arayüzlerine hangi adreslerden veya ağlardan uzak bağlantı kurabileceğinizi belirleyebilirsiniz. Kural olarak, işletmenin güvenlik politikası, yönetici bilgisayarlarının en azından özel bir kontrol ağında veya hatta sabit kodlanmış adreslerde bulunması gerektiğini belirtir.
- Ayrı olarak, üzerinde bulunan toplara bağlanma iznine dikkat etmek gerekir. kişisel bilgisayarlar... Genel bir çözüm yok. Ancak genellikle işletmenin bu konudaki politikası zordur - özel top yok. İzin verilirse, yalnızca yönetim toplarına erişime izin verilir ve buna yalnızca 1. maddede belirtildiği gibi yöneticilere izin verilmelidir. Ancak kişisel bilgisayarlarda paylaşılan yazıcılar kullanıyorsanız, güvenlik sistemini bozmadan buna izin vermenin tek basit yolu Yerel Ağ için bir izin (kural) eklemektir (aksi takdirde kullanıcılar komşu bir yazıcıdan paylaşılan yazıcılara bağlanamazlar). bilgisayar).
Ve son ekleme. unutma