Windows: desativa o acesso remoto da unidade local, mesmo pelo administrador do domínio

Question

Windows: desativa o acesso remoto da unidade local, mesmo pelo administrador do domínio

#1 resposta do (4 votos)
#2 resposta do (2 votos)
#3 resposta do (2 votos)

2

Temos uma rede de PCs com Windows 7 gerenciados como parte de um domínio. O que queremos é que o administrador do domínio não consiga visualizar a unidade local do computador (C :), a menos que ele esteja fisicamente no computador. Em outras palavras, não há área de trabalho remota nem capacidade de usar UNC. Em outras palavras, o administrador do domínio deve não ter permissão para colocar \user_pc\c$ no Windows Explorer e ver todos os arquivos nesse computador, a menos que ele esteja fisicamente presente no PC em si.

Editar : para esclarecer algumas das perguntas / comentários que surgiram. Sim, eu sou um administrador --- mas um principiante completo do Windows . E sim, por causa disso e de minhas perguntas semelhantes, é justo supor que estou trabalhando para alguém que é paranoico.

Eu entendo os argumentos sobre este ser um "problema social versus um problema técnico", e "você deve ser capaz de confiar em seus administradores", etc. Mas esta é a situação na qual eu me encontro. Sou basicamente novo na administração do sistema Windows, mas tenho a tarefa de criar um ambiente que seja seguro pela definição do proprietário da empresa --- e essa definição é claramente muito diferente do que a maioria das pessoas espera.

Em suma, eu entendo que este é um pedido incomum. Mas eu espero que haja conhecimento suficiente na comunidade ServerFault para me apontar na direção certa.

windows security windows-7 privacy unc

por Matt 19.04.2013 / 17:15

3 respostas

Tags windows security windows-7 privacy unc

O usuário não pode remover o symlink que possui Como posso encontrar um log de chamadas de uma extensão específica no Asterisk?

score 4 · Answer 1

Este post, dos fóruns da Technet, de Yan Li explica isso com bastante facilidade:

Only the Administrators group have access to the administrative shares, please go to the Administrators group and remove the desired users and groups that you do not what to have access to the administrative shares.

For multiple client PCs, you could on one of the machines and disable them as stated below, export the registry key and then in a GPO import it.

Disable the default shares:

Windows open hidden shares on each installation for use by the system account. (Tip: You can view all of the shared folders on your computer by typing NET SHARE from a command prompt.) You can disable the default Administrative shares two ways.

One is to stop or disable the Server service, which removes the ability to share folders on your computer. (However, you can still access shared folders on other computers.) When you disable the Server service (via Control Panel > Administration Tools > Services), be sure to click Manual or Disabled or else the service will start the next time the computer is restarted.

The other way is via the Registry by editing HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. For Servers edit AutoShareServer with a REG_DWORD Value of 0. For Workstations, the edit AutoShareWks. Keep in mind that disabling these shares provide an extra measure of security, but may cause problems with applications. Test your changes in a lab before disabling these in a production environment. The default hidden shares are:

Share:

C$ D$ E$

Path and function:

Root of each partition, only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows 2000 Server computer, members of the Server Operators group can also connect to these shared folders.

Ainda assim, não é uma boa prática fazer isso. Você está impedindo o acesso a coisas que devem estar acessíveis para um administrador de domínio. É como mudar as fechaduras do seu apartamento para que o seu senhorio não possa entrar.

score 2 · Answer 2

Use volumes criptografados com um utilitário de criptografia de terceiros, como TrueCrypt.

Esta é a única maneira de impedir que um administrador tenha acesso a dados que não deveria ter. É suficiente contra um administrador honesto, mas não é suficiente contra um administrador mal-intencionado, que ainda pode instalar key-loggers ou usar ferramentas de acesso remoto para visualizar o conteúdo do volume enquanto um volume é desbloqueado.

Quanto àqueles que se perguntam por que você deseja bloquear um administrador dos dados, é apenas BAD PRACTICE que, por padrão, os administradores tenham acesso a qualquer tipo de dados confidenciais, dados financeiros, detalhes pessoais de funcionários, dados de pesquisa etc. Eles não deveriam.

Parte do trabalho de um administrador de TI deve garantir que nenhuma conta de administrador individual seja comprometida levará o intruso a ter acesso total a todos os dados da empresa.

score 2 · Answer 3

Existe uma política por escrito da empresa sobre quem, e por que alguma informação específica deve ser acessada em um computador em rede, e por que essa informação específica precisa estar em um computador em rede? Se isso é apenas para este escritório, por que não reservar um laptop extra ou usar um computador "off-line" antigo que só pode ser acessado no escritório real? Um laptop no cofre não pode ser facilmente roubado ou acessado. Incêndios, inundações, tornados, hackers na China, na Índia, etc. Em seguida, conecte-o somente quando for necessário.