Preocupação com a segurança do meu Windows 7 Box at Work


41

Essa pergunta pode ser estranha e incorreta, mas eu não sou especialista em Windows, portanto, fique à vontade para me corrigir.

O grupo em que estou recentemente tem novos computadores em funcionamento. Eles me deram um computador novo e conectaram meu computador antigo à rede por uma semana, para que eu levasse um tempo transferindo os arquivos / configurações necessários etc. O Suporte disse: "Basta ir para 'executar' e digitar \\PCNAME\c$. Então eu fiz e, baixo e eis que há a minha antiga unidade C :. Pensei comigo mesma: "Que enorme problema de segurança. Vou apenas transferir tudo rapidamente e depois 'descompartilhar'. "

Chegou o fim do dia, entrei na área de trabalho remota e cliquei com o botão direito do mouse na unidade C. Mas não foi compartilhado. Liguei para o Suporte e expliquei a ele que não queria minha unidade C disponível para todos na rede durante todo o fim de semana. Ele parecia confuso. Ele disse: "Não é realmente 'compartilhado'. Se você for ao prompt de comando e digitar, \\ANYPCNAME\c$obterá a unidade C. É exatamente assim."

Desliguei o telefone e fui até a mesa de um colega de trabalho e olhei para o nome do seu PC (há um adesivo em todos os computadores) e depois voltei para a minha mesa e coloquei um helloarquivo na área de trabalho.

Não mantenho nada pessoal no meu computador de trabalho, mas há preocupações de segurança definidas. Não realmente do grupo em que estou, mas das centenas de outros funcionários da rede (e domínio) que eu não conheço. Estou bem com piadas práticas, mas e se alguém tiver um rancor desconhecido contra mim (ou alguém com um nome semelhante ou nome de computador) e acrescentar linguagem desagradável contra meu chefe aos documentos que fazem parte de um projeto?

Isso é parte integrante de como os domínios do Windows funcionam? Existem medidas que posso tomar para tornar minha caixa um pouco mais segura? Lembre-se de que tenho direitos de administrador na caixa, mas não posso alterar nada na rede ou no domínio. Mesmo apenas uma explicação do que está acontecendo seria uma grande ajuda, pois isso vai contra tudo o que eu sei ser 'bastante básico' sobre os sistemas de computadores em geral. Como estou mais familiarizado com o Linux, o Windows World é um pouco estranho para mim.

Acompanhamento

Expressei minhas preocupações sobre isso no trabalho. Foi-me dito: "Ninguém sabe sobre a coisa $ drive, então não há nada com que se preocupar". Seguiu a solução de Darth e adicionou essa chave do registro. Agora vou esperar e ver se alguém é alertado.


6
Isso é totalmente doido. Deve haver uma maneira fácil de desativar isso.
James T Snell

6
Não é totalmente louco. É assim que o Windows é projetado e por boas razões. Veja minha resposta adicional abaixo.
Julio

13
E não, sua pergunta não é nem um pouco esquisita e você fez um excelente trabalho ao descrevê-la, dada a sua não perícia auto-descrita. Você era observador e atencioso, o que é algo que eu gostaria que até dez dos meus usuários fossem.
Music2myear

4
+1 porque suas preocupações são razoáveis ​​e justificadas.
21411 Randolf Richardson

2
Oh uau, isso é realmente preocupante. Para adicionar mais urgência à sua solicitação, observe que isso provavelmente também funciona em estações de trabalho usadas por recursos humanos. Isso é uma coisa que eu não acho que a empresa quer funcionários arbitrárias ser capaz de ler (muito menos modificar!)
Tim Publicar

Respostas:


38

O que você está vendo é um dos Administrative Sharesque está ativado em todas as máquinas Windows para todas as unidades não removíveis como \\computername\driveletter$. No entanto, ele deve ser acessível apenas a alguém que esteja no grupo local de Administradores (parece que o grupo Administradores de Domínio ou Usuários do Domínio foi adicionado ao grupo local de Administradores).

O triste fato da vida é que você realmente não pode desativá-los completamente sem perder outra coisa (você pode desativar o compartilhamento de arquivos, por exemplo, mas não pode compartilhar arquivos ...). Como eles são compartilhamentos ocultos (como indicado $no final), você não pode visualizá-los quando broswing \\computername, mas eles serão exibidos se você digitar net shareem um prompt de comando.

Desabilitá-los não deve ser seu primeiro curso de ação se o Suporte estiver disposto a ouvir um pouco da razão: peça a ele que restrinja as permissões que os usuários comuns têm em computadores pela rede, para que não possam mexer nos arquivos um do outro, ou veja se ele moverá perfis e documentos de usuário para um compartilhamento de arquivos do servidor (a solução melhor, mas muito mais envolvida).

Se ele não puder ou não corrigir isso, você pode desativá-los temporariamente digitando net share c$ /delete, mas o Windows os recriará toda vez que o computador for reiniciado. Você pode colar esses comandos em um arquivo em lotes executado na inicialização.

Se você realmente deseja proteger seu computador, também há compartilhamentos ocultos chamados admin$e IPC$que podem revelar muitas informações sobre seu computador e seus arquivos para alguém na rede que você pode desativar.

Conforme indicado em outras respostas, pode haver programas que dependem da disponibilidade desses compartilhamentos, e isso pode chamar a atenção do Support Guy se ele estiver tentando usar um dos compartilhamentos administrativos para ajudar a manter o sistema e não conseguir acessá-lo.

Editar:

Parece que você pode desativar os compartilhamentos da partição raiz ( c$, d$etc.) com a seguinte chave do Registro (crie-a se ela não existir):

Seção: HKEY_LOCAL_MACHINE
Chave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nome: AutoShareWks
Tipo de Dados: REG_DWORD
Valor:0

Isso não desativará o IPC$compartilhamento, no entanto.


1
+1 - eu adicionaria as informações em sua edição, mas você me venceu. ;)
Ƭᴇcʜιᴇ007

14
Excluir compartilhamentos administrativos nunca é uma boa opção inicial. Existem razões pelas quais elas existem e um ambiente adequadamente protegido não sofre problemas de segurança por causa deles. São os privilégios da conta que devem ser abordados em primeiro lugar.
Music2myear

1
@ music2myear Ele disse que não tinha controle sobre a política de rede ou domínio, então presumi que os privilégios da conta não estavam na tabela de opções. Além disso, se ele corrigir isso localmente (por exemplo, removendo administradores de domínio do grupo local de administradores), isso teria o mesmo efeito que desabilitar os compartilhamentos (sendo esse efeito o acesso aos compartilhamentos da rede com a finalidade de instalar software ou similares.
Darth Android

1
Isso é mais um problema de política do que um problema de design. Por exemplo, isso não é possível onde estou. Mas se você não tem muita experiência no Active Directory, posso ver como eles o configuram para onde qualquer um pode fazer isso. . .
surfasb

1
A maioria dos usuários não tem (ou não deveria) controlar a política de rede ou domínio. No entanto, uma ou duas perguntas ou duas colocadas com o gerenciamento ou a equipe de TI apropriada podem ajudar a iniciar uma revisão apropriada e provavelmente necessária da política de segurança de TI.
Music2myear

16

Sua conta de usuário provavelmente está definida como Administrador em todos os PCs da rede. Pode haver várias razões para isso, a maioria delas não é a melhor.

Cada computador em um domínio tem cada unidade compartilhada com o que é chamado de compartilhamento administrativo. Esse compartilhamento é sempre a letra da unidade seguida de $. Como você viu: C $. Isso está sempre disponível para todos os usuários cujas contas são administradores nesse computador. Existem boas razões para isso. A maioria dos programas de correção usa isso, assim como muitos programas de segurança. Além disso, os SupportGuys como eu o usam para obter arquivos de e para os computadores para reparo, diagnóstico, solução de problemas e assistência ao usuário, apenas para citar alguns.

Geralmente, você não deseja excluir um compartilhamento administrativo, a menos que tenha certeza de que não há programas necessários em sua rede que o exijam. Por exemplo: o SupportGuy pode precisar usar esse compartilhamento para implantar atualizações críticas no seu computador.

O problema ocorre quando todas as contas de usuário regulares na rede são administradores. Esse é o problema e é isso que deve ser tratado em seu escritório. Você deve ser usuário ou usuário avançado, dependendo das permissões necessárias. Com casos especiais concedidos a pessoas que realmente precisam de direitos de administrador.

ATUALIZAÇÃO Dirigindo-se a outras respostas: eu recomendo não desativar o compartilhamento administrativo, a menos que você realmente saiba que não há sistemas que o exijam. O primeiro curso de ação deve ser descobrir por que sua conta tem permissões de administrador de domínio e se isso é realmente necessário. Fazer isso corrigirá problemas de segurança em toda a rede, não apenas um pequeno problema de sintoma que você descobriu aqui. Se não houver motivo legítimo para você ter direitos de administrador de domínio e o SupportGuy não desejar remover esses direitos, considere remover o compartilhamento administrativo.


5
Re direitos de administrador: isso ocorre apenas quando o usuário é um administrador de domínio ou um administrador local no PC de destino . Isso não acontece quando o usuário é um administrador local em seu próprio PC, mas não em mais ninguém.
grawity

3
Ele pode não ser um administrador na rede como um todo. Freqüentemente, ao configurar um computador, alguns administradores adicionam o grupo Usuário do Domínio ao grupo local de administradores, para que qualquer pessoa que tenha sites desativados possa instalar coisas etc. Se você fizer isso em todos os computadores, terá o efeito de ser um administrador em qualquer lugar. , mas os servidores.
KCotreau

É por isso que usei a verificação menos técnica "Sua conta de usuário provavelmente está definida como Administrador na rede". Poderia ter sido redigido de maneira mais explícita, mas, para uma pessoa com essa capacidade e conhecimento, achei apropriado.
Music2myear

1
Essa situação parece muito mais assustadora do que eu pensava. Eu realmente não quero mexer no pote, mas vou levar isso ao The Support Guy ou ao administrador da rede na segunda-feira. Eu realmente não posso deixar passar.
21711 Josh Johnson

11

O C $ é o compartilhamento administrativo. Você provavelmente não deve desativá-lo, pois isso pode quebrar as coisas.

O verdadeiro problema de segurança aqui é que parece que eles tornaram todos os administradores em todas as máquinas (talvez através da adição de usuários de domínio ao grupo de administradores locais).

De certa forma, isso não deve ser um problema, já que, pessoalmente, não acredito que nada deva ser armazenado localmente, e que "Meus Documentos" devem ser redirecionados para sua unidade mapeada pessoal no servidor, o que não seria possível. ter acesso a menos que haja um lapso de segurança ainda maior.


+1 para Meus documentos mapeados. Estou pensando em fazer isso no meu escritório como um aprimoramento de segurança. Já o estou executando no meu computador e funciona como um encanto.
Music2myear

Excelentes pontos (+1). Acho que ter um usuário como administrador em sua máquina local evita muitos problemas com o software não funcionar ou instalar (ou atualizar) corretamente - geralmente é muito mais complicado não conceder direitos de administrador, mas conceder a todas as máquinas na rede parece desnecessário.
Randolf Richardson

2

Como todo mundo já disse, o driveletter $ é um fato da vida do Windows.

Mas por que você é um administrador na área de trabalho de colegas de trabalho? E ... eu confirmo que ele é um administrador na sua área de trabalho? Esta é a verdadeira questão aqui.

Mesmo se você remover o compartilhamento do administrador .. não há nada que impeça as pessoas de fazer logon na área de trabalho e acessar seus arquivos porque elas são administradores na sua máquina. O compartilhamento é apenas uma maneira útil de ignorar o logon.

Como você é um administrador em sua máquina, eu darei uma olhada no grupo de administradores, adicione-se explicitamente e remova o grupo de usuários do domínio que provavelmente está lá.


1
Esse é o maior perigo. Acho que não era óbvio, mas as pessoas que recomendam desativar os compartilhamentos de administrador estão perdendo a visão geral. Quem mais tem direito de administrador? Considerando que seu papel na empresa não é único, isso me assusta mais. Se você possui direitos de administrador em toda a rede, quem mais ??????
Surfasb

1

Clique com o botão direito em "Computador" (Menu Iniciar)

Selecione "Gerenciar"

Expandir "Pastas compartilhadas"

clique em "compartilhamentos"

no painel direito, você verá todos os compartilhamentos nesse PC, sendo que todos com $ são compartilhamentos ocultos, clique com o botão direito em C $ e selecione "parar de compartilhar"

Conforme sugerido por Darth, o compartilhamento será recriado após a reinicialização.

Você pode desativá-lo no registro, mas não acho que sua empresa aprecie isso.

Você também pode desativar o compartilhamento de arquivos no Firewall do Windows, mas isso matará todos os compartilhamentos de arquivos.

.


E ele exibirá o aviso "Este compartilhamento foi criado apenas para fins administrativos. O compartilhamento reaparecerá quando o serviço do Servidor for parado e reiniciado ou o computador for reiniciado. Tem certeza de que deseja interromper o compartilhamento de C $?"
Ƭᴇcʜιᴇ007

0

A página da Wikipedia sobre compartilhamentos administrativos deve responder às suas perguntas. Basicamente, para acessar esses compartilhamentos, sua conta faz parte direta ou indiretamente (provavelmente) do grupo administrativo local em todos os computadores.

Uma maneira de ver os grupos que você está é executando através da linha de comando: gpresult /R. Pessoalmente, seu departamento de TI parece inepto se todos os usuários tiverem acesso de administrador local a todos os computadores. Com isso dito, sinto que você ainda não deve ajustar as coisas, mas é isso que eu faria:

  • Abra o gerenciamento do computador (clique com o botão direito em Computador, gerencie)
  • À esquerda, selecione: Ferramentas do sistema \ Usuários e grupos locais \ Grupos
  • Clique duas vezes no Administratorsgrupo.

Todo mundo que é membro ou membro de um grupo no Administratorsgrupo terá acesso aos seus compartilhamentos administrativos. A primeira coisa que eu faria é adicionar sua conta diretamente, se ela ainda não estiver lá como à prova de falhas, se você começar a se divertir muito ... Agora você pode quebrar coisas removendo usuários / grupos que não deseja ter Acesso.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.