41

Этот вопрос может быть странным и неправильным, но я ни в коем случае не эксперт по Windows, поэтому не стесняйтесь меня поправлять.

Группа, в которой я недавно работала, получила новые компьютеры. Они дали мне новый компьютер и подключили мой старый компьютер к сети на неделю, чтобы я мог потратить время на передачу необходимых файлов / конфигураций и т.д. Парень службы поддержки сказал: «Просто зайдите в« run »и введите \\PCNAME\c$ . Так я и сделал, и вот, вот мой старый диск C:. Я подумал про себя: «Какая огромная проблема безопасности. Я просто быстро все перенесу, а потом «разкажу». "

Конец дня наступил, и я вошел через удаленный рабочий стол и щелкнул правой кнопкой мыши на диске C. Но это не было поделено. Я позвонил парню поддержки и объяснил ему, что не хочу, чтобы мой диск C был доступен всем в сети все выходные. Он казался смущенным. Он сказал: «Это на самом деле не« общий ». Если вы зайдете в командную строку и \\ANYPCNAME\c$ вы получите их диск C. Вот только как это. "

Я повесил трубку и подошел к столу коллеги, посмотрел на имя его компьютера (на каждом компьютере есть наклейка), а затем вернулся к своему столу и положил hello файл на рабочий стол.

Я не храню ничего личного на своем рабочем компьютере, но есть определенные проблемы безопасности. Не из группы, в которой я работаю, а из сотен других сотрудников сети (и домена), которых я не знаю. Я в порядке с практическими шутками, но что, если у кого-то есть неизвестная злоба на меня (или на кого-то с похожим именем или именем компьютера), и он добавляет непристойные высказывания против моего босса к документам, которые являются частью проекта?

Является ли это наследственной частью работы доменов Windows? Могу ли я предпринять какие-либо шаги, чтобы сделать свою коробку немного более безопасной? Имейте в виду, что у меня есть права администратора для ящика, но я ничего не могу изменить, если речь идет о сети или домене. Даже простое объяснение того, что происходит, очень помогло бы, поскольку это идет вразрез со всем, что, как я знаю, является «довольно простым» в компьютерных системах в целом. Я больше знаком с Linux, поэтому Windows World немного чужды для меня.

Следовать за

Высказал свои опасения по этому поводу на работе. Мне сказали: «Никто не знает, что такое диск, поэтому не о чем беспокоиться». Следовал решению Дарта и добавил этот раздел реестра. Теперь я подожду и посмотрю, будет ли кто-нибудь предупрежден.

|источник

6 ответов6

38

То, что вы видите, это один из Administrative Shares общих ресурсов, который включен на каждом компьютере Windows для всех несъемных дисков как \\computername\driveletter$ . Однако он должен быть доступен только тому, кто входит в локальную группу «Администраторы» (похоже, что группа «Администраторы домена» или «Пользователи домена» добавлена в локальную группу «Администраторы»).

Печальный факт жизни состоит в том, что вы не можете полностью отключить их, не потеряв при этом что-то еще (например, вы можете отключить общий доступ к файлам, но тогда вы не сможете делиться файлами ...). Так как они являются скрытыми общими ресурсами (обозначенными в конце символом $ ), вы не сможете просмотреть их, когда будете указывать \\computername , но они будут отображаться, если вы введете net share в командной строке.

Отключение их не должно быть вашим первым шагом, если парень службы поддержки хочет выслушать небольшую причину - попросите его ограничить разрешения, которые имеют обычные пользователи на компьютерах по сети, чтобы они не могли связываться с файлами друг друга, или посмотрите, переместит ли он профили пользователей и документы на файловый ресурс сервера (лучшее, но гораздо более сложное решение).

Если он не может или не хочет это исправить, вы можете временно отключить их, введя net share c$ /delete , но Windows будет воссоздавать их каждый раз при перезагрузке компьютера. Возможно, вы сможете вставить эти команды в командный файл, который запускается при запуске.

Если вы действительно хотите обезопасить свой компьютер, есть также скрытые общие ресурсы, называемые admin$ и IPC$ которые могут раскрыть много информации о вашем компьютере и его файлах кому-то в сети, что вы можете отключить.

Как указывалось в других ответах, могут существовать программы, которые зависят от доступности этих общих ресурсов, и это может привлечь внимание парня из службы поддержки, если он пытается использовать один из общих административных ресурсов для поддержки вашей системы и не может получить к ней доступ.

Редактировать:

Кажется, вы можете отключить общие ресурсы корневого раздела (c$ , d$ и т.д.) С помощью следующего раздела реестра (создайте его, если он не существует):

Улей: HKEY_LOCAL_MACHINE
Ключ: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Название: AutoShareWks
Тип данных: REG_DWORD
Значение: 0

Однако это не отключит общий ресурс IPC$ .

|источник
16

Ваша учетная запись пользователя, вероятно, установлена в качестве администратора на всех компьютерах в сети. Для этого могут быть разные причины, большинство из которых не самые лучшие.

Каждый компьютер в домене имеет общий диск с тем, что называется и административным ресурсом. Эта доля всегда является буквой диска, за которой следует $. Как вы видели это: C $. Это всегда доступно всем пользователям, чьи учетные записи являются администраторами на этом компьютере.Для этого есть веские причины. Это используют большинство программ исправлений, как и многие программы безопасности. Кроме того, SupportGuys, как я, используют его для получения файлов на компьютеры и с компьютеров для ремонта, диагностики, устранения неполадок и помощи пользователям, и это лишь некоторые из них.

Как правило, вы не хотите удалять административный общий ресурс, если не уверены, что в вашей сети нет необходимых программ, которые в этом нуждаются. Например: SupportGuy может понадобиться использовать этот общий ресурс для развертывания критических обновлений на вашем компьютере.

Проблема возникает, когда все обычные учетные записи пользователей в сети являются администраторами. Это проблема, и это то, что должно быть решено в вашем офисе. Вы должны быть пользователями или опытными пользователями, в зависимости от необходимых разрешений. С особыми случаями для людей, которым на самом деле нужны права администратора.

ОБНОВЛЕНИЕ Обращаясь к другим ответам: я настоятельно рекомендую не отключать административный общий ресурс, если вы действительно не знаете, что для этого не требуется систем. Первым делом следует выяснить, почему ваша учетная запись имеет разрешения администратора домена и действительно ли это необходимо. Это позволит решить проблемы безопасности во всей сети, а не только одну небольшую проблему с симптомами, которую вы обнаружили здесь. Если у вас нет законных оснований для того, чтобы у вас были права администратора домена, и SupportGuy не хочет удалять указанные права, если вы решите фактически удалить административный общий ресурс.

|источник
11

C $ является административной долей. Вы, вероятно, не должны отключать это, поскольку это может сломать вещи.

Настоящая проблема безопасности здесь заключается в том, что, похоже, они назначены всеми администраторами на каждой машине (возможно, благодаря добавлению пользователей домена в группу локальных администраторов).

В некотором смысле это не должно быть проблемой, поскольку лично я не считаю, что что-то должно храниться локально, и что "Мои документы" должны быть перенаправлены на ваш персональный подключенный диск на сервере, чего они не будут иметь доступ, если не было еще большей ошибки безопасности.

|источник
2

Как все говорили, буква $ - это факт жизни Windows.

Но почему вы администратор на рабочем столе ваших коллег? А также.. Я бы подтвердил, является ли он администратором на вашем рабочем столе? Это реальная проблема здесь.

Даже если вы удалите общий ресурс администратора ... ничто не мешает людям войти на ваш рабочий стол и получить доступ к вашим файлам, потому что они администратор на вашем компьютере. Это просто удобный способ обойти вход в систему.

Поскольку вы являетесь администратором на своем компьютере, я бы посмотрел на группу администраторов, явно добавил себя, а затем удалил группу пользователей домена, которая, вероятно, существует.

|источник
1

Щелкните правой кнопкой мыши на "Компьютер" (меню "Пуск")

Выберите "Управление"

Разверните "Общие папки"

нажмите "Акции"

на правой панели вы увидите все общие папки на этом ПК, все с $ являются скрытыми, вы можете щелкнуть правой кнопкой мыши на C $ и выбрать "остановить обмен"

Как предполагает Дарт, после перезагрузки ресурс будет воссоздан.

Вы можете отключить его в реестре, но я не думаю, что ваша компания это оценит.

Вы также можете отключить общий доступ к файлам в брандмауэре Windows, но это приведет к уничтожению всех общих файловых ресурсов.

,

|источник
0

Страница Википедии об административных ресурсах должна ответить на ваши вопросы. В основном для доступа к этим общим ресурсам ваша учетная запись является прямой или косвенной (наиболее вероятной) частью локальной административной группы на всех компьютерах.

Один из способов просмотра групп, в которых вы находитесь, - запуск через командную строку: gpresult /R Лично ваш ИТ-отдел звучит неуместно, если все пользователи имеют локальный доступ администратора ко всем компьютерам. С учетом вышесказанного я чувствую, что вы все еще не должны ничего настраивать, но я бы сделал следующее:

  • Откройте управление компьютером (щелкните правой кнопкой мыши Компьютер, управляйте)
  • Слева выберите: Системные инструменты \ Локальные пользователи и группы \ Группы
  • Дважды щелкните группу « Administrators ».

Каждый, кто является участником или членом группы в группе « Administrators », будет иметь доступ к вашим административным ресурсам. Первое, что я хотел бы сделать, это добавить свою учетную запись напрямую, если она еще не существует в качестве отказоустойчивой, если вы начинаете слишком увлекаться ... Теперь вы можете ломать голову, удаляя пользователей / группы, к которым у вас нет доступа.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .