Preocupação de segurança com o meu Windows 7 Box at Work

Navegue suas respostas
41

Essa pergunta pode ser estranha e equivocada, mas eu não sou especialista em Windows, então sinta-se à vontade para me corrigir.

O grupo em que eu estou recentemente adquiriu novos computadores no trabalho. Eles me deram um novo computador e conectaram meu computador antigo à rede por uma semana para que eu pudesse levar meu tempo transferindo os arquivos / configurações necessários, etc. O Ajudante disse: "Simplesmente vá para 'executar' e digite \PCNAME\c$ . Então eu fiz e, baixo e eis, há a minha antiga unidade C: Eu pensei comigo mesmo: "Que grande problema de segurança. Vou transferir tudo rapidamente e depois descompactá-lo ".

Chegou o fim do dia e eu entrei pela área de trabalho remota e cliquei com o botão direito na unidade C. Mas não foi compartilhado. Liguei para o The Support Guy e expliquei a ele que não queria que minha unidade C estivesse disponível para todos na rede durante todo o final de semana. Ele parecia confuso. Ele disse: "Não é realmente 'compartilhado'. Se você for ao prompt de comando e digitar \ANYPCNAME\c$ você obtém a unidade C. É assim que é."

Eu desliguei o telefone e fui até a mesa de um colega de trabalho e olhei o nome do seu PC (há um adesivo em cada computador) e voltei para a minha mesa e coloquei um arquivo hello em sua área de trabalho.

Eu não mantenho nada pessoal no meu computador de trabalho, mas há preocupações de segurança definitivas. Não de dentro do grupo em que estou, mas das centenas de outros funcionários da rede (e do domínio) que não conheço. Estou bem com piadas práticas, mas e se alguém tem um rancor desconhecido contra mim (ou alguém com um nome similar ou nome de computador) e adiciona linguagem desagradável contra o meu chefe para documentos que fazem parte de um projeto?

Isso é parte de como os domínios do Windows funcionam? Há alguma medida que eu possa tomar para tornar minha caixa um pouco mais segura? Tenha em mente que tenho direitos de administrador para a caixa, mas não posso alterar nada no que diz respeito à rede ou ao domínio. Mesmo apenas uma explicação do que está acontecendo seria uma grande ajuda, pois isso vai contra tudo o que eu sei ser "bastante básico" sobre sistemas de computador em geral. Estou mais familiarizado com o Linux, então o Windows World é um pouco estranho para mim.

Acompanhamento

Expressei minhas preocupações sobre isso no trabalho. Foi-me dito: "Ninguém sabe sobre o drive $ coisa, então não há nada para se preocupar." Seguiu a solução da Darth e adicionou essa chave de registro. Agora vou esperar e ver se alguém é alertado.

    
por Josh Johnson 15.07.2011 / 22:33

6 respostas

38

O que você está vendo é um dos Administrative Shares que está ativado em todas as máquinas com Windows para todas as unidades não removíveis como \computername\driveletter$ . No entanto, só deve ser acessível a alguém que esteja no grupo Administradores local (parece que o grupo Administradores do domínio ou Usuários do domínio foi adicionado ao grupo Administradores local).

O triste fato da vida é que você não pode realmente desabilitá-los completamente sem perder outra coisa, por sua vez (você pode desabilitar o compartilhamento de arquivos, por exemplo, mas você não pode compartilhar arquivos ...). Como eles são compartilhamentos ocultos (como denotado por $ no final), você não pode visualizá-los quando broswing \computername , mas eles serão exibidos se você digitar net share em um prompt de comando.

Desativá-los não deve ser seu primeiro curso de ação se o Support Guy estiver disposto a ouvir um pouco de razão - Peça a ele para restringir as permissões que os usuários comuns têm nos computadores pela rede, para que eles não consigam arquivos de outros usuários, ou veja se ele moverá perfis e documentos de usuário para um servidor de compartilhamento de arquivos (a solução melhor, mas muito mais envolvida).

Se ele não puder ou não corrigir isso, você poderá desativá-los temporariamente digitando net share c$ /delete , mas o Windows os recriará toda vez que o computador for reinicializado. Você pode colocar esses comandos em um arquivo de lote que é executado na inicialização.

Se você realmente deseja proteger seu computador, há também compartilhamentos ocultos chamados admin$ e IPC$ , que podem revelar muitas informações sobre seu computador e seus arquivos para alguém na rede que você pode desativar.

Como apontado em outras respostas, pode haver programas que dependem da disponibilidade desses compartilhamentos, e isso pode chamar a atenção do Suporte Se ele estiver tentando usar um dos compartilhamentos administrativos para ajudar a manter seu sistema e não conseguir acessá-lo .

Editar:

Parece que você pode desativar os compartilhamentos de partição raiz ( c$ , d$ , etc.) com a seguinte chave de registro (crie-a se ela não existir):

Colmeia: HKEY_LOCAL_MACHINE
Chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nome: AutoShareWks
Tipo de dados: REG_DWORD
Valor: 0

Isso não desabilitará o compartilhamento IPC$ , no entanto.

    
por 15.07.2011 / 22:46
16

Sua conta de usuário provavelmente está definida como Administrador em todos os computadores da rede. Pode haver várias razões para isso, a maioria delas não é a melhor.

Cada computador em um domínio tem cada unidade compartilhada com o que é chamado e o compartilhamento administrativo. Esse compartilhamento é sempre a letra da unidade seguida por $. Como você viu: C $. Isso está sempre disponível para todos os usuários cujas contas são administradores nesse computador. Há boas razões para isso. A maioria dos programas de patches usa isso, assim como muitos programas de segurança. Além disso, o SupportGuys como eu o usa para obter arquivos de e para os computadores para reparo, diagnóstico, solução de problemas e assistência ao usuário, apenas para citar alguns.

Você geralmente não deseja excluir um compartilhamento administrativo, a menos que tenha certeza de que não há programas necessários em sua rede que exijam isso. Por exemplo: o SupportGuy pode precisar usar esse compartilhamento para implantar atualizações críticas em seu computador.

O problema ocorre quando todas as contas de usuários regulares na rede são administradores. Este é o problema e é isso que deve ser tratado em seu escritório. Você deve ser usuário ou usuário avançado, dependendo das permissões necessárias. Com casos especiais dados para pessoas que realmente precisam de direitos de administrador.

UPDATE Endereçando outras respostas: Eu recomendaria altamente contra a desativação do compartilhamento administrativo, a menos que você realmente saiba que não há sistemas que exijam isso. O primeiro curso de ação deve ser descobrir por que sua conta tem permissões de administrador de domínio e se isso é realmente necessário. Fazer isso consertará os problemas de segurança em toda a rede, não apenas um pequeno problema de sintomas que você descobriu aqui. Se não houver nenhuma razão legítima para você ter direitos de administrador de domínio e o SupportGuy não desejar removê-los, considere remover o compartilhamento administrativo.

    
por 15.07.2011 / 22:50
11

O C $ é o compartilhamento administrativo. Você provavelmente não deve desativá-lo, pois isso pode quebrar as coisas.

A verdadeira questão de segurança aqui é que parece que eles transformaram todos os administradores em todas as máquinas (talvez através de usuários de domínio sendo adicionados ao grupo de administradores locais).

De certa forma, isso não deve ser um problema, pois, pessoalmente, não acredito que algo deva ser armazenado localmente e que "Meus Documentos" seja redirecionado para sua unidade pessoal mapeada no servidor, o que eles não teriam acesso a menos que houvesse um lapso de segurança ainda maior.

    
por 15.07.2011 / 22:49
2

Como todos disseram, o driveletter $ é um fato da vida do Windows.

Mas por que você é um administrador na área de trabalho de seus colegas de trabalho? E ... eu confirmo que ele é um administrador na sua área de trabalho? Esta é a verdadeira questão aqui.

Mesmo se você remover o compartilhamento de administrador ... não há nada que impeça as pessoas de fazer login na sua área de trabalho e acessar seus arquivos porque eles são administradores em sua máquina. O compartilhamento é apenas uma maneira prática de ignorar o registro.

Como você é um administrador em sua máquina, eu daria uma olhada no grupo de administradores, adicionaria a si mesmo explicitamente e, em seguida, removeria o grupo de usuários do domínio que provavelmente está lá.

    
por 16.07.2011 / 01:56
1

Clique com o botão direito em "Computador" (Menu Iniciar)

Selecione "Gerenciar"

Expandir "Pastas compartilhadas"

clique em "Compartilhamentos"

no painel direito você verá todos os compartilhamentos naquele PC, qualquer um com $ são compartilhamentos ocultos, você pode clicar com o botão direito do mouse em C $ e selecionar "parar de compartilhar"

Como sugerido por Darth, o compartilhamento será recriado após a reinicialização.

Você pode desativá-lo no registro mas eu não acho que sua empresa apreciaria isso.

Você também pode desabilitar o compartilhamento de arquivos no Firewall do Windows, mas isso matará todos os compartilhamentos de arquivos.

.

    
por 15.07.2011 / 22:46
0

A página da Wikipédia sobre compartilhamentos administrativos deve responder às suas perguntas. Basicamente, para acessar esses compartilhamentos, sua conta é direta ou indiretamente (muito provavelmente) parte do grupo administrativo local em todos os computadores.

Uma maneira de visualizar os grupos em que você está é executando por meio da linha de comando: gpresult /R . Pessoalmente, o departamento de TI parece inepto se todos os usuários tiverem acesso de administrador local a todos os computadores. Com isso dito, sinto que você ainda não deve ajustar as coisas, mas é o que eu faria:

  • Abra o gerenciamento do computador (clique com o botão direito em Computador, gerencie)
  • À esquerda, selecione: Ferramentas do sistema \ Usuários e grupos locais \ Grupos
  • Clique duas vezes no grupo Administrators .

Todos que são membros ou membros de um grupo no grupo Administrators terão acesso aos seus compartilhamentos administrativos. A primeira coisa que gostaria de fazer é adicionar sua conta diretamente se ela já não estiver lá como uma prova de falhas se você começar a se divertir muito ... Agora você pode quebrar itens removendo usuários / grupos que não deseja ter acesso.

    
por 16.07.2011 / 18:28

Tags

conclusão do histórico de oh-my-zsh Como excluir um URL das sugestões da omnibox do Chrome? [duplicado]