como impedir o acesso a \\ 127.0.0.1 \ c $ ou \\ localhost \ c $

6

Por motivos de segurança, queremos impedir que nossos usuários acessem a unidade C em seus computadores e nos servidores de terminal. Esses usuários não são administradores locais nas estações de trabalho ou nos servidores.

Implementamos as seguintes configurações de Política de Grupo:

  • Remover menu de execução do menu Iniciar
  • Ocultar essas unidades especificadas em Meu computador - somente restringir a unidade C - Impedir acesso a unidades do Meu computador - restringir somente a unidade C

Isso impede que os usuários acessem a unidade C a partir do Windows Explorer.

No entanto, se eles inserirem \ 127.0.0.1 \ c $ ou \ localhost \ c $, poderão acessar a unidade C de qualquer uma destas maneiras:

Internet Explorer / Edge

Chrome

Um link no Microsoft Word

Como posso evitar isso? Eu repito - eles não são administradores de nenhuma forma, e ainda assim eles podem acessar a unidade C através do compartilhamento administrativo. (Eu também não sou a única pessoa relatando esse problema).

Eu ficaria feliz em bloquear o acesso a quaisquer caminhos UNC (desde que eu ainda possa mapear drives para eles), ou para prevenir ou direcionar mal 127.0.0.1/localhost. Mas nada que eu tentei funciona, e eu realmente preciso evitar isso.

Alguma ideia? É muito importante para mim encontrar uma maneira de bloquear isso no Windows 10 Enterprise, mas parece ser um problema em vários sistemas operacionais Workstation e Server.

Obrigado,

David

    
por curwin 01.03.2017 / 20:18

2 respostas

6

Esta foi a minha resposta inicial:

This really is not default behaviour, so you have something odd going on. Either the default permissions have been changed (which IIRC isn't easy with conventional weaponry) or they are members of administrators (I know you said they are not but this might be an indirect membership), power users, or backup operators. Possibly also Print Operators.

I appreciate that isn't what you want to hear given how well you've emphasised that users aren't admins, but I've looked into this kind of thing dozens for times for people and it always turns out to be something like "Oh, I guess my colleague added 'all_staff' to the 'administrators' group one day because the CEO was screaming at him about not being able to RDP into the server from home".

E é muito errado, mas merece ficar como uma ilustração de uma crença antiga que não está sendo testada com bastante frequência. Eu acredito que esta é uma mudança no comportamento de versões anteriores do Windows, mas não tenho certeza de quando a mudança teria acontecido.

EutesteicomoWindows10ProeEnterpriseapenasnocasodeelesteremconfiguraçõespadrãodiferentes,eosUsuáriospodemprocuraroscompartilhamentosadministrativoslocaisesuasopçõesparacontrolarissoparecembastantelimitadas..Vocêpodedesativaroscompartilhamentosadministrativosconformesugeridopelomdpc(consulte link ) para uma fonte da Microsoft para isso), mas isso pode interferir na forma como várias ferramentas de administração funcionam nesses computadores (por exemplo, pode impedir a implantação / atualização de agentes de auto-implantação), então eu realmente recomendaria contra ele.

Esconder a unidade da maneira que você descreve via GPO não tem nada a ver com permissões para a unidade ou compartilhar, por sinal. Isso simplesmente aciona um sinalizador no Windows para ocultar certas letras de unidade. Não é confiável ou robusto, e eu já vi muitos administradores em educação, por exemplo, enlouquecerem tentando ver isso de qualquer forma que os alunos possam fazer, mas é fútil.

No entanto ... Embora os usuários possam acessar o compartilhamento administrativo local, eles não podem acessar compartilhamentos em outros PCs, e o acesso deles pelo compartilhamento ainda lhes concede o mesmo acesso que normalmente teriam. Portanto, os usuários não podem "hackear" o sistema dessa maneira; eles não podem alterar as coisas que eles ainda não têm permissão para alterar.

Você pode e deve bloquear a raiz da unidade c: \ no entanto. Veja algumas instruções para fazer isso:

  1. Vá para o seu DC, Abra o ADUC, crie um grupo de segurança ('Lock down c drive 'say) para usuários que não poderão salvar arquivos no root dirigir.
  2. Abra o GPMC, crie um GPO vinculado às suas máquinas de destino.
  3. Edite a política e abra [Configuração do computador | Políticas | Configurações do Windows | Configurações de segurança | Sistema de arquivos] Clique com o botão direito "Sistema de arquivos", escolha "Adicionar arquivo ..." e selecione a unidade "C:", entrar.
  4. Na página de segurança, clique no botão "Avançado". Adicione o grupo de segurança 'Bloquear a unidade c'.
  5. Com esse grupo destacado, clique em Avançado. Na janela Configurações avançadas de segurança, verifique se o grupo correto ainda está selecionado e clique em Editar.
  6. Altereotipopara"Negar" e Aplique para "Somente esta pasta".
  7. Clique no botão 'Mostrar permissões básicas' / 'Mostrar permissões avançadas' para ver as permissões avançadas.
  8. Marque a permissão Negar apenas para os seguintes itens: "Criar arquivos / Gravar dados" e "Criar pastas / Anexar dados".
  9. Clique em OK para sair do editor de permissões e, em seguida, clique em Ok novamente.
  10. Na janela de aviso para Negar permissões, clique em Sim.
  11. Defina a configuração da diretiva de segurança como 'Configurar este arquivo ou pasta' e escolha 'Propagar permissões herdáveis para todas as subpastas e arquivos' (é aqui que você verifica novamente se obteve a etapa 6 absolutamente correta antes de ativar essa configuração).

Dê um tempo para o GPO replicar e aplicar ( gpupdate /force pode ajudar aqui se você estiver com pressa) e agora você deve descobrir que os usuários não podem criar arquivos na raiz da unidade c. Eles só devem ter permissão para sua própria pasta dentro de \ users neste momento.

    
por 01.03.2017 / 20:40
2

Encontrei uma solução para o problema na correção do registro mencionada aqui:

link

Eu testei e funciona. Eu implantei a mudança via Política de Grupo e os computadores receberam a mudança.

Esse post também discute como isso foi uma mudança que ocorreu na mudança do Windows 2003 para o Windows 2008:

"Esse comportamento ocorre porque a permissão de compartilhamento padrão do compartilhamento administrativo foi alterada no Windows Server 2008, o que permite que a conta de logon ativo acesse os compartilhamentos administrativos.

A permissão de compartilhamento padrão do compartilhamento administrativo é controlada pelo valor de registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ DefaultSecurity \ SrvsvcShareAdminConnect.

Para configurar o Windows Server 2008 para que se comporte como o Windows Server 2003, podemos exportar o valor do Registro acima do Window Server 2003 e importá-lo para o Windows Server 2008. Observação: precisamos reiniciar o servidor para a alteração para faça efeito. "

    
por 02.03.2017 / 21:18