3

Недавно я создал новую учетную запись администратора и преобразовал свою исходную учетную запись администратора в стандартную учетную запись пользователя для "наилучшей практики безопасности". Я заметил, что как обычный пользователь я могу получить доступ к пользовательской папке администратора, которую AFAIK не должен выполнять обычный пользователь. быть в состоянии сделать.

При проверке свойств папки "Пользователи" и раздела "Расширенный общий доступ" на вкладке "Общий доступ" группа "Все" имеет полный контроль над папкой пользователей. Папка также указывается как находящаяся в состоянии: общая. Я не инициировал эти разрешения для папки пользователей, поэтому я могу думать только о том, что при создании домашней группы домашняя группа инициировала общий ресурс. Я создал Homegroup только для целей тестирования и впоследствии удалил ее. Я читал аналогичный отчет о Win 7, где при создании домашней группы или публичного общего доступа автоматически распределяется папка всех пользователей, и даже после удаления домашней группы папка пользователей остается общей! https://scottiestech.info/2009/09/25/windows-7-file-sharing-fixing-the-entire-user-directory-shared-problem/

Возможно ли, что Windows 10 унаследовала такое же поведение? На этом этапе я просто размышляю о том, что произошло, но проблема с Homegroup кажется выполнимой.

По сути, я хочу вернуть все это в нормальное состояние или по умолчанию, и я обеспокоен тем, что это также проблема безопасности. Не зная точно, что здесь произошло, я не уверен в том, какие разрешения нужно использовать и начать менять, не нарушая ничего и не делая ничего хуже. Может кто-нибудь мне помочь?

1 ответ1

2

В данный момент у меня нет системы Windows 10 для проверки, но я бы предположил, что простого удаления папки будет достаточно.

Также обратите внимание, что общие разрешения не переопределяют разрешения файловой системы. Таким образом, если каталог "Пользователи" имеет общие права доступа « Everyone: Full , но разрешения файловой системы настроены с более строгими разрешениями, такими как « Everyone: Read, Administrators: Full, Creator/Owner: Full , тогда действуют более строгие разрешения между этими двумя , Таким образом, в этом сценарии группа "Все" / участник безопасности ограничена только для чтения. Кроме того, если подкаталог в разделе "Пользователи" вообще не имеет разрешений, настроенных для группы "Все" / субъекта безопасности, "Все" могут видеть подкаталог, но не могут открывать или читать его.

С другой стороны, я не уверен, какие рекомендации вы читали, но если в Windows 10 что-то кардинально не изменилось, то я пропустил встроенную учетную запись администратора (ту, у которой RID/SID заканчивается на -500), не может быть изменен на учетную запись "обычного пользователя". У него всегда будут административные разрешения.

Лучшая практика, с которой я знаком, - отключить встроенную учетную запись (хотя она по-прежнему может использоваться в безопасном режиме, если у вас возникнет чрезвычайная ситуация, где она вам нужна), переименуйте ее, создайте новую стандартную учетную запись пользователя с именем "Администратор". msgstr ", который также отключен (просто для того, чтобы его сбросить, будет хакером), а затем создайте учетную запись администратора под другим именем для собственного использования.

ОБНОВИТЬ:

По разговору в комментариях я понимаю, что вы имеете в виду пользователя по умолчанию, созданного во время установки. Не встроенный администратор, как я не понял, о чем вы говорите. Этот пользователь может быть преобразован в обычного пользователя, как вы заявили. Мои извинения за путаницу.

Что касается разрешений по умолчанию, я выполнил тестовую виртуальную машину Windows 10 (Anniversary update 1607) и обнаружил, что каталог Users по умолчанию имеет значение Everyone: Read/Execute/List . Однако все каталоги профилей (Users\ somebody) в каталоге Users настроены на НЕ наследовать разрешения от пользователей и имеют явное значение SYSTEM: Full; Administrators: Full; Profile Owner: Full . Таким образом, никто, кроме администраторов и пользователей, владеющих этим профилем, не имеет прав на чтение, просмотр или изменение чего-либо в каталоге профиля другого пользователя.

Итак, чтобы сбросить ваши разрешения по умолчанию:

  1. Отменить общий доступ к каталогу пользователей

  2. Сбросьте разрешения файловой системы для каталога "Пользователи" (вкладка "Безопасность") для Everyone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Execute

  3. Измените любые каталоги профилей пользователей в каталоге Users, чтобы они не наследовали разрешения от родительского каталога (вкладка "Безопасность" -> "Дополнительно"), а затем явно установите разрешения для SYSTEM: Full; Administrators: Full; <user name>: Full

Эти шаги, конечно, могут быть выполнены с помощью команд PowerShell и тому подобного, но в духе сохранения вещей на уровне вашего опыта и помощи в освоении веревок я буду придерживаться методов GUI. Вот несколько снимков экрана, чтобы помочь.

Каталог пользователей:Права доступа к каталогу пользователей

Отдельные права доступа к каталогу профиля пользователя (обратите внимание, что разрешения НЕ наследуются)Проверьте права доступа к каталогу пользователя

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .