Windows 7 Box'ım İşyerinde Güvenlik Sorunu


41

Bu soru çok garip ve yanlış olabilir ama ben bir Windows uzmanı değilim, bu yüzden beni düzeltmekten çekinmeyin.

Ben son zamanlarda bulunduğum grup iş yerinde yeni bilgisayarlar var. Bana yeni bir bilgisayar verdiler ve eski bilgisayarımı bir hafta boyunca ağa bağladılar, böylece gerekli dosyaları / yapılandırmaları aktarırken zamanımı alabilecektim. Destekçi "Sadece" çalıştır ve git ve yaz. "Dedi \\PCNAME\c$. ve, alçakgönüllülükle işte, eski C: sürücüm var. Kendi kendime düşündüm, "Ne kadar büyük bir güvenlik sorunu. Ben sadece her şeyi hızlıca transfer edeceğim ve sonra 'paylaşma'.

Günün sonu geldi ve uzaktaki masaüstünden giriş yaptım ve C sürücüsüne sağ tıkladım. Ancak paylaşılmadı. Destek görevlisini aradım ve ona C diskimin bütün haftasonu ağdaki herkese ulaşmasını istemediğimi söyledim. Kafası karışmış gibiydi. “Gerçekten paylaşılmadı” dedi. Komut istemine gidip \\ANYPCNAME\c$yazıp onların C sürücüsünü yazın.

Telefonu kapattım ve bir iş arkadaşının masasına doğru yürüdüm ve bilgisayarının adına baktım (her bilgisayarda bir çıkartma var) ve sonra masama dönüp hellomasaüstüne bir dosya koydum .

İş bilgisayarımda kişisel bir şey tutmuyorum ama kesin güvenlik kaygıları var. Gerçekten grubun içinde değilim ama ağdaki (ve etki alanındaki) yüzlerce çalışanın bilmediğim. Pratik şakalar konusunda iyiyim ama eğer biri bana karşı (ya da benzer bir isim ya da bilgisayar adına sahip) bilinmeyen bir kin kullanıyorsa ve bir projenin parçası olan belgelere patronuma kötü bir dil eklerse?

Bu, Windows etki alanlarının nasıl çalıştığının devralınan bir parçası mı? Kutumu biraz daha güvenli hale getirmek için atabileceğim herhangi bir adım var mı? Kutu için yönetici haklarına sahip olduğumu ve ağ ya da etki alanı kadar hiçbir şeyi değiştiremeyeceğimi unutmayın. Neler olup bittiğinin bir açıklaması bile, genel olarak bilgisayar sistemleri konusunda 'oldukça basit' olduğunu bildiğim her şeye aykırı olduğu için büyük bir yardım olacaktır. Linux'a daha aşinayım, bu yüzden Windows World benim için biraz yabancı.

Takip et

İşyerinde bu konuda endişelerimi dile getirdi. Bana, "Kimse sürücü hakkında bir şey bilmiyor, bu yüzden endişelenecek bir şey yok" demişti. Darth'ın çözümünü takip etti ve bu kayıt defteri anahtarını ekledi. Şimdi bekleyip birilerinin uyarılıp uyarılmadığını göreceğim.


6
Bu tamamen delilik. Bunu etkisiz hale getirmenin kolay bir yolu olmalı.
James T Snell

6
Tamamen deli değil. Pencerelerin nasıl tasarlandığı ve iyi sebeplerden dolayı. Aşağıda başka cevabımı gör.
music2myearTem

13
Ve hayır, sorunuz en azından garip değil ve kendi kendini tanımladığınız uzmanlık olmadan bunu açıklamak için mükemmel bir iş yaptınız. Dikkatli ve düşünceli birisiydiniz, bu da 10 kişiden birinin olmasını diliyorum.
music2myyear

4
+1 çünkü endişeleriniz makul ve haklı.
Randolf Richardson,

2
Oh vay, bu gerçekten rahatsız edici. İsteğinize daha fazla aciliyet eklemek için, bunun muhtemelen insan kaynakları tarafından kullanılan iş istasyonları üzerinde çalıştığını unutmayın . Bu, şirketin keyfi çalışanların okuyabilmesini istediğini sanmıyorum (çok daha az değişiklik!)
Tim Post

Yanıtlar:


38

Gördüğünüz şey, Administrative Sharesçıkarılmayan tüm sürücüler için her Windows makinesinde etkinleştirilmiş olanlardan biridir \\computername\driveletter$. Ancak, yalnızca yerel Yöneticiler grubundaki bir kişi tarafından erişilebilir olmalıdır (Etki Alanı Yöneticileri veya Etki Alanı Kullanıcıları grubu, yerel Yöneticiler grubuna eklenmiş gibi görünür).

Hayatın üzücü gerçeği, onları sırayla başka bir şey kaybetmeden tamamen devre dışı bırakamamanızdır (örneğin, dosya paylaşımını devre dışı bırakabilirsiniz, ancak sonra dosyaları paylaşamazsınız ...). Gizli paylaşımlar olduklarından ( $en sonunda belirtildiği gibi ), geçerken bunları göremezsiniz \\computername, ancak net sharekomut isteminde yazarsanız gösterecektir .

Destek Adamı biraz sebep dinlemeye istekliyse, onları devre dışı bırakmak ilk işlem sıranız olmamalıdır. Ondan düzenli kullanıcıların ağ üzerinde bilgisayarlara sahip oldukları izinleri kısıtlamasını isteyin, böylece birbirlerinin dosyalarına karışamazlar. veya kullanıcı profillerini ve belgelerini bir sunucu dosya paylaşımına taşıyacak mı (daha iyi, ancak daha çok ilgili bir çözüm).

Bunu düzeltemez veya düzeltemezse, yazarak bunları geçici olarak devre dışı bırakabilirsiniz net share c$ /delete, ancak Windows her yeniden başlatıldığında Windows yeniden oluşturur. Bu komutları başlangıçta çalışan bir toplu iş dosyasına yapıştırabilirsiniz.

Bilgisayarınızı gerçekten güvence altına almak istiyorsanız, adı verilen admin$ve IPC$bilgisayarınızla ilgili birçok bilgiyi açığa çıkaran gizli paylaşımlar da var ve bu dosyalar ağdaki birisine devre dışı bırakabileceğiniz birisine.

Diğer cevaplarda da belirtildiği gibi, bu hisselerin kullanımına bağlı programlar olabilir ve bu, sisteminizin korunmasına yardımcı olmak ve erişememek için idari paylaşımlardan birini kullanmaya çalışıyorsa, Destek Adamının dikkatini çekebilir.

Düzenle:

Kök bölüm paylaşımlarını ( c$, d$vb.) Aşağıdaki kayıt defteri anahtarıyla (varsa) oluşturabilirsiniz.

Kovan: HKEY_LOCAL_MACHINE
Anahtar: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Adı: AutoShareWks
Veri Türü: REG_DWORD
Değer:0

IPC$Ancak bu, payı devre dışı bırakmayacak .


1
+1 - Bilginize, düzenlemenize ekleyecektim, ancak beni yendin. ;)
Ƭᴇcʜιᴇ007

14
Yönetimsel paylaşımları silmek asla iyi bir başlangıç ​​seçeneği değildir. Onların var olmalarının sebepleri vardır ve uygun şekilde korunan bir ortam, onlar yüzünden hiçbir güvenlik sorunu yaşamaz. Her şeyden önce ele alınması gereken hesap ayrıcalıklarıdır.
music2my,

1
@ music2myear Ağ veya etki alanı politikası üzerinde kontrol sahibi olmadığını söyledi, bu nedenle hesap ayrıcalıklarının seçenekler tablosunda olmadığını varsaydım. Ayrıca, bunu yerel olarak düzeltirse (örneğin, Etki Alanı Yöneticilerini yerel Yöneticiler grubundan kaldırarak), o zaman bu, paylaşımları devre dışı bırakmayla aynı etkiye sahip olacaktır (söz konusu etki, ağ üzerinden paylaşımlara yazılım yükleme amacıyla erişim sağlamak veya gibi.
Darth Android

1
Bu, bir tasarım sorunundan çok bir politika sorunudur. Örneğin, olduğum yerde bu mümkün değil. Ancak Active Directory'de çok fazla deneyiminiz yoksa, bunu kimsenin bunu yapabilecekleri yere nasıl ayarladıklarını görebilirim. . .
surfasb

1
Çoğu kullanıcı ağ veya etki alanı politikası üzerinde kontrol sahibi değildir (veya olmamalıdır). Bununla birlikte, uygun yönetim veya BT personeli ile birlikte yerleştirilen bir soru veya sorgu veya BT güvenlik politikasının uygun ve muhtemelen gerekli bir incelemesini başlatmaya yardımcı olabilir.
music2my,

16

Kullanıcı hesabınız muhtemelen ağdaki tüm bilgisayarlarda Yönetici olarak ayarlanmıştır. Bunun için çeşitli nedenler olabilir, çoğu en iyisi değil.

Etki alanındaki her bilgisayar, adlandırılan ve Yönetimsel Paylaşım ile paylaşılan her sürücüye sahiptir. Bu paylaşım her zaman sürücü harfi ve ardından $ 'dır. Gördüğün gibi: C $. Bu, hesaplarını o bilgisayarda yönetici olan tüm kullanıcılar için her zaman kullanılabilir. Bunun için iyi nedenler var. Çoğu yama programı bunu, birçok güvenlik programında olduğu gibi kullanır. Ayrıca, benim gibi SupportGuys, sadece birkaç isim, bilgisayar, tamir, tanılama, sorun giderme ve kullanıcı yardımı için dosyaları almak için kullanıyor.

Ağınızda gerekli olan herhangi bir program olmadığından emin değilseniz, genellikle bir yönetici paylaşımını silmek istemezsiniz. Örneğin: SupportGuy'un, bu güncelleştirmeyi bilgisayarınıza kritik güncellemeleri dağıtmak için kullanması gerekebilir.

Sorun, ağdaki tüm düzenli kullanıcı hesapları yöneticiler olduğunda ortaya çıkar. Sorun bu ve ofisinizde ele alınması gereken şey budur. Gerekli izinlere bağlı olarak kullanıcılar veya uzman kullanıcılar olmalısınız. Gerçekten yönetici haklarına ihtiyaç duyan insanlar için verilen özel durumlar.

GÜNCELLEME Diğer cevapları ele almak: Gerektiren bir sistem olmadığını gerçekten bilmediğiniz sürece, yönetimsel payın devre dışı bırakılmasını şiddetle tavsiye ederim. İlk işlem, hesabınızın neden etki alanı yöneticisi izinlerine sahip olduğunu ve gerçekten gerekli olup olmadığını bulmak olmalıdır. Bunu yapmak, tüm ağdaki güvenlik sorunlarını çözecektir, burada keşfettiğiniz küçük bir belirti sorununu değil. Etki alanı yöneticisi haklarına sahip olmanız için meşru bir neden yoksa ve SupportGuy, söz konusu hakları kaldırmak istemiyorsa, aslında yönetim paylaşımını kaldırmayı düşünmelisiniz.


5
Yönetici haklarını yeniden sağlama: Bu, yalnızca kullanıcı bir etki alanı yöneticisi veya hedef bilgisayardaki yerel bir yönetici olduğunda oluşur . Kullanıcı, kendi bilgisayarında yerel bir Yönetici olduğunda değil, başka hiç kimsenin başına gelmez .
Grawity

3
Bir bütün olarak ağ üzerinde yönetici olmayabilir. Genellikle bir bilgisayar kurulurken, bazı yöneticiler Etki Alanı Kullanıcısı grubunu yerel yönetici grubuna ekler, böylece siteleri kuranlar, bir şeyler yükleyebilirler vb. ama sunucular.
KCotreau

Bu yüzden daha az teknik veri kullandım "Kullanıcı hesabınız muhtemelen ağda Yönetici olarak ayarlandı". Daha açık bir şekilde ifade edilmiş olabilirdi, ancak bu yetenek ve bilgi birikimine sahip bir kişi için bunu uygun hissettim.
music2myearTem

1
Bu durum, düşündüğümden daha korkunç geliyor. Potu karıştırmak istemiyorum ama bunu Pazartesi günü Destek Adamına veya ağ yöneticisine ulaştıracağım. Kaymasına gerçekten izin veremem.
Josh Johnson

11

C $ idari paylaşımdır. Bir şeyleri kırabileceği için muhtemelen onu devre dışı bırakmamalısınız.

Buradaki asıl güvenlik sorunu, her makinedeki herkesi yöneticileri yaptıkları gibi (belki de yerel yöneticiler grubuna etki alanı kullanıcıları eklenerek) geliyor.

Kişisel olarak, hiçbir şeyin ilk önce yerel olarak depolanması gerektiğine ve "Belgelerim" in sunucudaki kişisel haritalanmış sürücünüze yönlendirilmemesi gerektiğine, sorun olmaması gereken bazı şekillerde çok daha büyük bir güvenlik açığı olmadıkça erişiminiz var.


Belgelerim için eşlenmiş +1. Bunu ofisimde güvenlik donanımı olarak yapmayı düşünüyorum. Zaten bilgisayarımda çalışan ve bir cazibe gibi çalışıyor.
music2myyear

Mükemmel puanlar (+1). Bir kullanıcının yerel makinesinde Yönetici olması, yazılımın düzgün çalışmaması veya yüklenmemesi (veya güncellenmesi) ile ilgili pek çok sorundan kaçınıyor - genellikle Yönetici haklarını vermemek, ancak tüm makinelere vermek çok zahmetli ağda gereksiz görünüyor.
Randolf Richardson

2

Herkesin dediği gibi kaçakçı $, Windows hayatının bir gerçeğidir.

Peki neden meslektaşlarınızın masaüstünde bir yöneticisiniz? Ve .. Onaylamak isterim, masaüstünüzde yönetici mi? BU burada asıl konudur.

Yönetici paylaşımını kaldırsanız bile .. insanların masaüstünüze giriş yapmasını ve dosyalarınıza erişmesini engelleyen hiçbir şey yoktur, çünkü bunlar makinenizde bir yöneticidir. Paylaşım, oturum açmayı atlamanın sadece kullanışlı bir yoludur.

Makinenizde bir yönetici olduğunuz için, yönetici grubuna bir göz atar, açık bir şekilde kendinizi ekler ve muhtemelen orada bulunan etki alanı kullanıcıları grubunu kaldırırdım.


1
Bu en büyük tehlike. Sanırım bariz değildi, ancak yönetici paylaşımlarını devre dışı bırakmayı öneren kişiler büyük resmi kaçırıyorlar. Başka kimin yönetici hakkı var? Şirketteki rolünüzün benzersiz olmadığı göz önüne alındığında, bu beni daha fazla korkutur. Eğer kendiniz ağ çapında yönetici haklarına sahipse, başka kim ??????
surfasb

1

"Bilgisayar" üzerine sağ tıklayın (Başlat Menüsü)

"Yönet" i seçin

"Paylaşılan Klasörler" i genişletin

"Paylaşımlar" ı tıklayın

Sağ bölmede, bu bilgisayardaki tüm paylaşımları göreceksiniz, $ ile herhangi bir gizli paylaşım varsa, C $ 'ı sağ tıklayıp "paylaşımı durdur" u seçebilirsiniz

Darth tarafından önerildiği gibi, hisse yeniden başlatıldığında yeniden yaratılacak.

Şunları yapabilirsiniz kayıt defterinde devre dışı ama şirket bu takdir sanmıyorum.

Windows Güvenlik Duvarı'ndaki dosya paylaşımını da devre dışı bırakabilirsiniz, ancak bu, tüm dosya paylaşımlarını öldürür.

.


"Bu paylaşım yalnızca yönetimsel amaçlarla oluşturuldu. Sunucu hizmeti durdurulduğunda ve yeniden başlatıldığında veya bilgisayar yeniden başlatıldığında paylaşım yeniden görünecek. C $ paylaşımını durdurmak istediğinizden emin misiniz?"
Ƭᴇcʜιᴇ007

0

İdari hisseler üzerinde Vikipedi sayfası sorularınıza cevap olmalıdır. Temel olarak, bu paylaşımlara erişmek için hesabınız tüm bilgisayarlarda doğrudan veya dolaylı olarak (büyük olasılıkla) yerel yönetim grubunun bir parçasıdır.

İçinde bulunduğunuz gruplarını görüntülemek için bir yolu komut satırı üzerinden çalışan gereğidir: gpresult /R. Tüm kullanıcıların tüm bilgisayarlara yerel yönetici erişimi varsa, kişisel olarak BT departmanınız yetersiz kalır. Bununla birlikte, hala bir şeyleri ince yapmamanız gerektiği hissine kapıldım ama yapacağım şey bu:

  • Bilgisayar yönetimini açın (Bilgisayar'a sağ tıklayın, yönetin)
  • Sol tarafta seçin: Sistem Araçları \ Yerel Kullanıcılar ve Gruplar \ Gruplar
  • AdministratorsGruba çift ​​tıklayın .

Gruptaki bir gruba üye veya üye olan herkes Administratorsidari paylarınıza erişebilecek. Yapacağım ilk şey, eğer çok eğlenmeye başlarsanız, zaten bir güvenlik önlemi almadıysa, doğrudan hesabınızı eklemek ... Artık sahip olmak istemediğiniz kullanıcıları / grupları kaldırarak işleri bozmaya devam edebilirsiniz. erişim.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.