Preocupação com a segurança do meu Windows 7 Box at Work

Essa pergunta pode ser estranha e incorreta, mas eu não sou especialista em Windows, portanto, fique à vontade para me corrigir.

O grupo em que estou recentemente tem novos computadores em funcionamento. Eles me deram um computador novo e conectaram meu computador antigo à rede por uma semana, para que eu levasse um tempo transferindo os arquivos / configurações necessários etc. O Suporte disse: "Basta ir para 'executar' e digitar \\PCNAME\c$. Então eu fiz e, baixo e eis que há a minha antiga unidade C :. Pensei comigo mesma: "Que enorme problema de segurança. Vou apenas transferir tudo rapidamente e depois 'descompartilhar'. "

Chegou o fim do dia, entrei na área de trabalho remota e cliquei com o botão direito do mouse na unidade C. Mas não foi compartilhado. Liguei para o Suporte e expliquei a ele que não queria minha unidade C disponível para todos na rede durante todo o fim de semana. Ele parecia confuso. Ele disse: "Não é realmente 'compartilhado'. Se você for ao prompt de comando e digitar, \\ANYPCNAME\c$obterá a unidade C. É exatamente assim."

Desliguei o telefone e fui até a mesa de um colega de trabalho e olhei para o nome do seu PC (há um adesivo em todos os computadores) e depois voltei para a minha mesa e coloquei um helloarquivo na área de trabalho.

Não mantenho nada pessoal no meu computador de trabalho, mas há preocupações de segurança definidas. Não realmente do grupo em que estou, mas das centenas de outros funcionários da rede (e domínio) que eu não conheço. Estou bem com piadas práticas, mas e se alguém tiver um rancor desconhecido contra mim (ou alguém com um nome semelhante ou nome de computador) e acrescentar linguagem desagradável contra meu chefe aos documentos que fazem parte de um projeto?

Isso é parte integrante de como os domínios do Windows funcionam? Existem medidas que posso tomar para tornar minha caixa um pouco mais segura? Lembre-se de que tenho direitos de administrador na caixa, mas não posso alterar nada na rede ou no domínio. Mesmo apenas uma explicação do que está acontecendo seria uma grande ajuda, pois isso vai contra tudo o que eu sei ser 'bastante básico' sobre os sistemas de computadores em geral. Como estou mais familiarizado com o Linux, o Windows World é um pouco estranho para mim.

Acompanhamento

Expressei minhas preocupações sobre isso no trabalho. Foi-me dito: "Ninguém sabe sobre a coisa $ drive, então não há nada com que se preocupar". Seguiu a solução de Darth e adicionou essa chave do registro. Agora vou esperar e ver se alguém é alertado.

O que você está vendo é um dos Administrative Sharesque está ativado em todas as máquinas Windows para todas as unidades não removíveis como \\computername\driveletter$. No entanto, ele deve ser acessível apenas a alguém que esteja no grupo local de Administradores (parece que o grupo Administradores de Domínio ou Usuários do Domínio foi adicionado ao grupo local de Administradores).

O triste fato da vida é que você realmente não pode desativá-los completamente sem perder outra coisa (você pode desativar o compartilhamento de arquivos, por exemplo, mas não pode compartilhar arquivos ...). Como eles são compartilhamentos ocultos (como indicado $no final), você não pode visualizá-los quando broswing \\computername, mas eles serão exibidos se você digitar net shareem um prompt de comando.

Desabilitá-los não deve ser seu primeiro curso de ação se o Suporte estiver disposto a ouvir um pouco da razão: peça a ele que restrinja as permissões que os usuários comuns têm em computadores pela rede, para que não possam mexer nos arquivos um do outro, ou veja se ele moverá perfis e documentos de usuário para um compartilhamento de arquivos do servidor (a solução melhor, mas muito mais envolvida).

Se ele não puder ou não corrigir isso, você pode desativá-los temporariamente digitando net share c$ /delete, mas o Windows os recriará toda vez que o computador for reiniciado. Você pode colar esses comandos em um arquivo em lotes executado na inicialização.

Se você realmente deseja proteger seu computador, também há compartilhamentos ocultos chamados admin$e IPC$que podem revelar muitas informações sobre seu computador e seus arquivos para alguém na rede que você pode desativar.

Conforme indicado em outras respostas, pode haver programas que dependem da disponibilidade desses compartilhamentos, e isso pode chamar a atenção do Support Guy se ele estiver tentando usar um dos compartilhamentos administrativos para ajudar a manter o sistema e não conseguir acessá-lo.

Editar:

Parece que você pode desativar os compartilhamentos da partição raiz ( c$, d$etc.) com a seguinte chave do Registro (crie-a se ela não existir):

Seção: HKEY_LOCAL_MACHINE
Chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nome: AutoShareWks
Tipo de Dados: REG_DWORD
Valor:0

Isso não desativará o IPC$compartilhamento, no entanto.

Sua conta de usuário provavelmente está definida como Administrador em todos os PCs da rede. Pode haver várias razões para isso, a maioria delas não é a melhor.

Cada computador em um domínio tem cada unidade compartilhada com o que é chamado de compartilhamento administrativo. Esse compartilhamento é sempre a letra da unidade seguida de $. Como você viu: C $. Isso está sempre disponível para todos os usuários cujas contas são administradores nesse computador. Existem boas razões para isso. A maioria dos programas de correção usa isso, assim como muitos programas de segurança. Além disso, os SupportGuys como eu o usam para obter arquivos de e para os computadores para reparo, diagnóstico, solução de problemas e assistência ao usuário, apenas para citar alguns.

Geralmente, você não deseja excluir um compartilhamento administrativo, a menos que tenha certeza de que não há programas necessários em sua rede que o exijam. Por exemplo: o SupportGuy pode precisar usar esse compartilhamento para implantar atualizações críticas no seu computador.

O problema ocorre quando todas as contas de usuário regulares na rede são administradores. Esse é o problema e é isso que deve ser tratado em seu escritório. Você deve ser usuário ou usuário avançado, dependendo das permissões necessárias. Com casos especiais concedidos a pessoas que realmente precisam de direitos de administrador.

ATUALIZAÇÃO Dirigindo-se a outras respostas: eu recomendo não desativar o compartilhamento administrativo, a menos que você realmente saiba que não há sistemas que o exijam. O primeiro curso de ação deve ser descobrir por que sua conta tem permissões de administrador de domínio e se isso é realmente necessário. Fazer isso corrigirá problemas de segurança em toda a rede, não apenas um pequeno problema de sintoma que você descobriu aqui. Se não houver motivo legítimo para você ter direitos de administrador de domínio e o SupportGuy não desejar remover esses direitos, considere remover o compartilhamento administrativo.

O C $ é o compartilhamento administrativo. Você provavelmente não deve desativá-lo, pois isso pode quebrar as coisas.

O verdadeiro problema de segurança aqui é que parece que eles tornaram todos os administradores em todas as máquinas (talvez através da adição de usuários de domínio ao grupo de administradores locais).

De certa forma, isso não deve ser um problema, já que, pessoalmente, não acredito que nada deva ser armazenado localmente, e que "Meus Documentos" devem ser redirecionados para sua unidade mapeada pessoal no servidor, o que não seria possível. ter acesso a menos que haja um lapso de segurança ainda maior.

Como todo mundo já disse, o driveletter $ é um fato da vida do Windows.

Mas por que você é um administrador na área de trabalho de colegas de trabalho? E ... eu confirmo que ele é um administrador na sua área de trabalho? Esta é a verdadeira questão aqui.

Mesmo se você remover o compartilhamento do administrador .. não há nada que impeça as pessoas de fazer logon na área de trabalho e acessar seus arquivos porque elas são administradores na sua máquina. O compartilhamento é apenas uma maneira útil de ignorar o logon.

Como você é um administrador em sua máquina, eu darei uma olhada no grupo de administradores, adicione-se explicitamente e remova o grupo de usuários do domínio que provavelmente está lá.

Clique com o botão direito em "Computador" (Menu Iniciar)

Selecione "Gerenciar"

Expandir "Pastas compartilhadas"

clique em "compartilhamentos"

no painel direito, você verá todos os compartilhamentos nesse PC, sendo que todos com $ são compartilhamentos ocultos, clique com o botão direito em C $ e selecione "parar de compartilhar"

Conforme sugerido por Darth, o compartilhamento será recriado após a reinicialização.

Você pode desativá-lo no registro, mas não acho que sua empresa aprecie isso.

Você também pode desativar o compartilhamento de arquivos no Firewall do Windows, mas isso matará todos os compartilhamentos de arquivos.

.

A página da Wikipedia sobre compartilhamentos administrativos deve responder às suas perguntas. Basicamente, para acessar esses compartilhamentos, sua conta faz parte direta ou indiretamente (provavelmente) do grupo administrativo local em todos os computadores.

Uma maneira de ver os grupos que você está é executando através da linha de comando: gpresult /R. Pessoalmente, seu departamento de TI parece inepto se todos os usuários tiverem acesso de administrador local a todos os computadores. Com isso dito, sinto que você ainda não deve ajustar as coisas, mas é isso que eu faria:

• Abra o gerenciamento do computador (clique com o botão direito em Computador, gerencie)
• À esquerda, selecione: Ferramentas do sistema \ Usuários e grupos locais \ Grupos
• Clique duas vezes no Administratorsgrupo.

Todo mundo que é membro ou membro de um grupo no Administratorsgrupo terá acesso aos seus compartilhamentos administrativos. A primeira coisa que eu faria é adicionar sua conta diretamente, se ela ainda não estiver lá como à prova de falhas, se você começar a se divertir muito ... Agora você pode quebrar coisas removendo usuários / grupos que não deseja ter Acesso.