A pasta Usuários inteiros é compartilhada

3

Eu criei recentemente uma nova conta de administrador e converti minha conta de administrador original em uma conta de usuário padrão para "segurança de práticas recomendadas" Percebi que, como usuário padrão, posso acessar a pasta de usuários dos administradores, que o AFAIK não deveria ser capaz de fazer um usuário padrão.

Ao verificar as propriedades da pasta "Usuários" e da seção "Compartilhamento avançado" da guia "Compartilhamento", o grupo "Todos" tem controle total sobre a pasta de usuários. A pasta também é indicada como estando em estado: compartilhada. Eu não iniciei essas permissões na pasta de usuários, então a única coisa em que consigo pensar é que, quando criei um Homegroup, o Homegroup iniciou o compartilhamento. Eu só criei o Homegroup para fins de teste e o removi depois. Eu li um relatório semelhante sobre o Win 7, onde na criação de um Homegroup ou compartilhamento público compartilha automaticamente a pasta de usuários inteira e, mesmo depois de remover o Homegroup, a pasta de usuários permanece compartilhada! link

É possível que o Windows 10 tenha herdado o mesmo comportamento? Nesta fase, estou apenas especulando sobre o que aconteceu, mas a questão do Homegroup parece ser viável.

Basicamente eu quero colocar tudo isso de volta ao normal ou padrão e estou preocupado que isso também seja um problema de segurança. Não sabendo exatamente o que aconteceu aqui, eu não tenho certeza sobre quais permissões ir e começar a mudar sem quebrar nada ou piorar as coisas. Alguém pode me ajudar?

    
por Kol12 29.09.2016 / 02:42

1 resposta

2

Eu não tenho um sistema do Windows 10 perto de mim para verificar no momento, mas acho que apenas o compartilhamento da pasta provavelmente seria suficiente.

Observe também que as permissões de compartilhamento não substituem as permissões do sistema de arquivos. Portanto, se o diretório Usuários tiver permissões de compartilhamento de Everyone: Full , mas as permissões do sistema de arquivos estiverem configuradas com permissões mais restritivas, como Everyone: Read, Administrators: Full, Creator/Owner: Full , as permissões mais restritivas entre os dois serão efetivas. Portanto, nesse cenário, o grupo Todos / principal de segurança é restrito a somente leitura. Além disso, se um subdiretório sob Usuários não tiver permissões configuradas para o grupo Todos / principal de segurança, então "Todos" poderá ver o subdiretório, mas eles não poderão abri-lo ou lê-lo.

Em uma nota lateral, não sei quais práticas recomendadas você leu, mas a menos que algo drástico tenha mudado no Windows 10 que perdi, a conta de administrador interna (aquela com um RID / SID que termina em -500), não pode ser alterado para uma conta de "usuário padrão". Ele sempre terá permissões administrativas.

A prática recomendada com a qual estou familiarizado é desabilitar a conta interna (embora ainda seja utilizável no modo de segurança caso você tenha uma situação de emergência onde precise), renomeá-la, criar uma nova conta de usuário padrão chamado "Administrador", que também é desativado (apenas para jogar fora, seria um hacker) e, em seguida, criar uma conta de administrador com um nome diferente para seu próprio uso.

UPDATE:

De acordo com a conversa nos comentários, percebo que você está se referindo ao usuário padrão criado durante a instalação. Não é o administrador interno como eu não entendi você estar falando. Esse usuário pode ser convertido em um usuário padrão como você afirmou. Minhas desculpas pela confusão.

Quanto às permissões padrão, fiz um teste do Windows 10 Virtual Machine (Atualização de aniversário 1607) e descobri que o diretório Users é padronizado como Everyone: Read/Execute/List . No entanto, todos os diretórios de perfil (Users \ someone) no diretório Users são definidos como NOT inherit permissions from Users e são definidos explicitamente como SYSTEM: Full; Administrators: Full; Profile Owner: Full . Portanto, ninguém além de administradores e do usuário que possui esse perfil tem permissões para ler, listar ou alterar qualquer coisa sob o diretório de perfil de outro usuário.

Então, para redefinir suas permissões para os padrões:

  1. Descompacte o diretório Usuários

  2. Redefina as permissões do sistema de arquivos para o diretório "Usuários" (guia de segurança) para Everyone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Execute

  3. Altere os diretórios de perfil de usuário em Diretório de usuários para não herdar permissões do diretório pai (guia de segurança - > Avançado) e defina explicitamente as permissões como SYSTEM: Full; Administrators: Full; <user name>: Full

Essas etapas podem ser realizadas usando os comandos do PowerShell, mas com o espírito de manter as coisas em seu nível de experiência e ajudá-lo a aprender os truques, vou me ater aos métodos da GUI. Aqui estão algumas capturas de tela para ajudar.

Diretório de usuários:

Permissõesdediretóriodeperfildeusuárioindividual(observequeaspermissõesNÃOsãoherdadas)

    
por 29.09.2016 / 03:22