it-mure.jp.net

職場でのWindows7Boxのセキュリティ上の懸念

この質問は奇妙で誤解されているかもしれませんが、私は決してWindowsの専門家ではないので、遠慮なく訂正してください。

私が所属しているグループは最近、新しいコンピューターを稼働させました。彼らは私に新しいコンピューターをくれ、古いコンピューターを1週間ネットワークに接続して、必要なファイルや構成などを転送するのに時間をかけました。サポートガイは、「「実行」に移動して\\PCNAME\c$と入力するだけです。だから私はやった、そして、低くて見よ、私の古いC:ドライブがあります。私は自分自身に、「なんて大きなセキュリティ問題だろうと思いました。すべてをすばやく転送してから、「共有解除」します。」

一日の終わりが来て、私はリモートデスクトップからログインし、Cドライブを右クリックしました。しかし、それは共有されませんでした。私はサポートガイに電話し、週末中ずっとネットワーク上のすべての人が自分のCドライブを利用できるようにしたくないと説明しました。彼は混乱しているようだった。 「実際には「共有」ではありません。「プロンプト」コマンドに移動して\\ANYPCNAME\c$と入力すると、Cドライブが取得されます。これがまさにその方法です。」

私は電話を切り、同僚の机に歩いて行き、彼のPC名(すべてのコンピューターにステッカーが貼られています)を見てから、私の机に戻ってhelloファイルを彼のデスクトップに置きました。

私は仕事用のコンピューターに個人的なものを何も保持していませんが、明確なセキュリティ上の懸念があります。私が所属しているグループ内からではなく、私が知らないネットワーク(およびドメイン)上の何百人もの他の従業員からです。私は悪ふざけで大丈夫ですが、誰かが私に対して未知の恨みを持っていて(または同様の名前やコンピューター名を持つ誰か)、プロジェクトの一部であるドキュメントに上司に対して厄介な言葉を追加した場合はどうなりますか?

これは、Windowsドメインの動作の継承部分ですか?ボックスをもう少し安全にするために実行できる手順はありますか?私にはボックスの管理者権限がありますが、ネットワークまたはドメインに関する限り、何も変更できないことに注意してください。何が起こっているのかを説明するだけでも、コンピュータシステム全般について「かなり基本的」であると私が知っているすべてに反するため、大きな助けになります。私はLinuxに精通しているので、WindowsWorldは私にとって少し異質です。

フォローアップ

職場でこれについての私の懸念を表明しました。 「drive $のことは誰も知らないので、心配する必要はありません」と言われました。ダースの解決策に従い、そのレジストリキーを追加しました。今、私は待って、誰かが警告を受けるかどうかを確認します。

41
Josh Johnson

表示されているのは、すべてのWindowsマシンでリムーバブルではないすべてのドライブに対してAdministrative Sharesとして有効になっている\\computername\driveletter$の1つです。ただし、ローカルのAdministratorsグループに属しているユーザーのみがアクセスできるようにする必要があります(DomainAdministratorsまたはDomainUsersグループがローカルのAdministratorsグループに追加されたようです)。

人生の悲しい事実は、順番に何かを失うことなくそれらを完全に無効にすることはできないということです(たとえば、ファイル共有を無効にすることはできますが、ファイルを共有することはできません...)。これらは非表示の共有であるため(最後に$で示されているように)、\\computernameを参照するときに表示できませんが、コマンドプロンプトでnet shareと入力すると表示されます。 。

Support Guyが少しの理由に耳を傾けるのであれば、それらを無効にすることはあなたの最初の行動ではありません-通常のユーザーがネットワーク上のコンピューターに対して持っているアクセス許可を制限して、お互いのファイルを台無しにしないように頼んでください、または、ユーザープロファイルとドキュメントをサーバーのファイル共有に移動するかどうかを確認します(より優れていますが、はるかに複雑なソリューション)。

彼がこれを修正できない、または修正しない場合は、net share c$ /deleteと入力して一時的に無効にすることができますが、Windowsはコンピューターを再起動するたびにそれらを再作成します。これらのコマンドを、起動時に実行されるバッチファイルに貼り付けることができる場合があります。

本当にコンピュータを保護したい場合は、admin$およびIPC$と呼ばれる非表示の共有もあります。これらは両方とも、コンピュータに関する多くの情報と、無効にできるネットワーク上の誰かへのファイルを公開する可能性があります。

他の回答で指摘されているように、これらの共有が利用可能であることに依存するプログラムがある可能性があります。これは、管理共有の1つを使用してシステムの保守を支援しようとしていて、システムにアクセスできない場合に、SupportGuyの注意を引く可能性があります。

編集:

次のレジストリキーを使用して、ルートパーティション共有(c$d$など)を無効にできるようです(存在しない場合は作成してください)。

ハイブ:HKEY_LOCAL_MACHINE
キー:SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
名前:AutoShareWks
データ型:REG_DWORD
値:0

ただし、これによってIPC$共有が無効になることはありません。

38
Darth Android

ユーザーアカウントは、ネットワーク上のすべてのPCで管理者として設定されている可能性があります。これにはさまざまな理由が考えられますが、そのほとんどは最善ではありません。

ドメイン上のすべてのコンピューターには、管理共有と呼ばれるものと共有される各ドライブがあります。このシェアは常にドライブ文字の後に$が続きます。あなたがそれを見たように:C $。これは、アカウントがそのコンピューターの管理者であるすべてのユーザーが常に利用できます。これには正当な理由があります。多くのセキュリティプログラムと同様に、ほとんどのパッチプログラムはこれを使用します。また、私のようなSupportGuysは、ほんの数例を挙げると、修復、診断、トラブルシューティング、およびユーザー支援のためにコンピューターとの間でファイルをやり取りするために使用します。

ネットワーク上にそれを必要とする必要なプログラムがないことが確実でない限り、通常、管理共有を削除することは望ましくありません。例:SupportGuyは、この共有を使用して、コンピューターに重要な更新を展開する必要がある場合があります。

この問題は、ネットワーク上のすべての通常のユーザーアカウントが管理者である場合に発生します。これが問題であり、これはあなたのオフィスで対処されるべきものです。必要な権限に応じて、ユーザーまたはパワーユーザーである必要があります。実際に管理者権限が必要な人のために特別な場合があります。

更新他の回答への対処:管理共有を必要とするシステムがないことが本当にわかっている場合を除いて、管理共有を無効にしないことを強くお勧めします。最初のアクションは、アカウントにドメイン管理者権限がある理由と、それが本当に必要かどうかを確認することです。これを行うと、ここで発見した1つの小さな症状の問題だけでなく、ネットワーク全体のセキュリティの問題が修正されます。ドメイン管理者権限を取得する正当な理由がなく、実際に管理共有を削除することを検討した場合、SupportGuyがその権限を削除することを望まない場合。

16
music2myear

C $は管理共有です。物事を壊す可能性があるため、おそらく無効にしないでください。

ここでの本当のセキュリティ問題は、すべてのマシンのすべての管理者を作成したように聞こえることです(おそらく、ドメインユーザーがローカル管理者グループに追加されているため)。

個人的には、そもそもローカルに何も保存する必要はなく、「マイドキュメント」はサーバー上の個人用にマップされたドライブにリダイレクトする必要があるため、問題にはならない方法もあります。さらに大きなセキュリティの失効がない限り、アクセスできます。

11
KCotreau

誰もが言っているように、driveletter $はWindowsLifeの事実です。

しかし、なぜあなたは同僚のデスクトップの管理者なのですか?そして..私は彼があなたのデスクトップの管理者であることを確認しますか?これがここでの本当の問題です。

管理共有を削除したとしても、他のユーザーがデスクトップにログオンしてファイルにアクセスするのを妨げるものは何もありません。彼らはあなたのマシンの管理者だからです。共有は、ログオンをバイパスするための便利な方法です。

あなたはあなたのマシンの管理者なので、私はadminグループを見て、自分自身を明示的に追加してから、おそらくそこにあるドメインユーザーグループを削除します。

2
itchi

「コンピュータ」を右クリック(スタートメニュー)

「管理」を選択します

「共有フォルダ」を展開します

「共有」をクリックします

右側のペインに、そのPC上のすべての共有が表示されます。$が付いているものはすべて非表示の共有です。C$を右クリックして、[共有を停止]を選択できます。

ダースが示唆しているように、共有は再起動時に再作成されます。

あなたは レジストリでそれを無効にする ができますが、あなたの会社がこれを評価するとは思わない。

Windowsファイアウォールでファイル共有を無効にすることもできますが、これによりすべてのファイル共有が強制終了されます。

1
Moab

管理共有に関するウィキペディアのページ はあなたの質問に答えるはずです。基本的に、これらの共有にアクセスするために、アカウントは直接または間接的に(ほとんどの場合)すべてのコンピューターのローカル管理グループの一部になります。

現在のグループを表示する1つの方法は、コマンドラインから実行することです。gpresult /R。個人的には、すべてのユーザーがすべてのコンピューターへのローカル管理者アクセス権を持っている場合、IT部門は不適切に聞こえます。そうは言っても、私はあなたがまだ物事を微調整するべきではないように感じますが、これは私がすることです:

  • コンピューターの管理を開きます([コンピューター]を右クリックして管理します)
  • 左側で、[システムツール]\[ローカルユーザー]と[グループ]\[グループ]を選択します。
  • Administratorsグループをダブルクリックします。

Administratorsグループのメンバーまたはグループのメンバーであるすべての人が、管理共有にアクセスできます。私が最初にすることは、あなたがあまりにも楽しみ始めた場合のフェイルセーフとしてまだそこにない場合はあなたのアカウントを直接追加することです...今あなたはあなたがしたくないユーザー/グループを削除することによって物事を壊すことに取り掛かることができますアクセス。

0
daalbert