Что такое административный доступ к локальным дискам. Отключение административных общих ресурсов

Приятно ощущать, что в мире, где постоянно приходится волноваться о шпионских программах, фишинге и попытках взлома беспроводных сетей, есть нечто постоянное - как и прежде, Windows сама дружелюбно открывает двери для всех этих угроз. Вам настолько приятно, что вы попросту выходите из себя при одной мысли об этом.
Оказывается, в каждой Windows 7 есть потайной ход, через который кто угодно может добраться до любого файла на вашем компьютере; эта уязвимость существует также и в Windows 2000, ХР и Vista.
По умолчанию к жестким дискам на компьютере открыт общий доступ. Вы все правильно поняли, ко всем жестким дискам можно обратиться извне. Что еще хуже, эти подключения скрыты, то есть диски не отображаются в папке Сеть Проводника Windows, и поэтому большинство пользователей даже не подозревают, какой угрозе подвергаются их данные.
Для того чтобы скрыть любую общую папку, при создании общего ресурса добавьте к его имени символ $ - например, Desktops. Теперь, чтобы обратиться к этой папке, введите в адресной строке Проводника Windows ее UNC-путь и нажмите Enter.
Можно проверить свой компьютер: откройте Проводник Windows и введите в адресной строке имя своего компьютера, а затем имя административного общего ресурса для диска С:, например:
\\ваш_компьютер\с$ и нажмите Enter. Если открылось содержимое жесткого диска, значит, на вашем компьютере административный доступ к общим ресурсам разрешен.
К сожалению, для того чтобы отключить административные общие ресурсы, недостаточно всего лишь запретить удаленный доступ к дискам. Нужно отключить механизм, который автоматически разрешает его при каждом включении компьютера. Сделайте следующее:
1. Откройте Редактор реестра.
2. Разверните ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters.
3. Дважды щелкните в правой панели на параметре AutoShareServer, введите 0 в поле Значение и нажмите ОК. Создать Параметр DWORD).)
4. Теперь дважды щелкните на параметре AutoShareWks, введите 0 в поле Значение и нажмите ОК.
5. Закройте Редактор реестра.
6. Откройте меню Пуск, в поле поиска введите coirpmgmt.msc и нажмите Enter. Откроется утилита Управление компьютером. Ее также можно открыть, щелкнув правой кнопкой мыши на пункте Компьютер в меню Пуск и выбрав команду Управление.
7. В левой панели разверните пункт Служебные программы, затем Общие папки и щелкните на папке Общие ресурсы.
Здесь отображается список всех общих папок на компьютере независимо от того, скрыты они или нет. Даже если вас не волнует проблема административных. Для удаления общего ресурса применяется команда net use /delete ресурс, где ресурс - это имя общего ресурса.
8. Для того чтобы вручную удалить административные общие ресурсы, щелкните на каждом из них правой кнопкой мыши и в контекстном меню выберите команду Прекратить общий доступ. В обоих окнах запроса отвечайте Да.
Здесь можно удалить любые скрытые общие ресурсы, за исключением следующих трех:
1РС$, что означает Inter-Process Communication. Этот общий ресурс используется для удаленного управления компьютером. Доказано, что взлом компьютера через общий ресурс 1РС$ возможен, однако единственный способ отключить его - навсегда запретить общий доступ к любым файлам. Можно временно остановить общий доступ к ресурсу 1РС$ - Windows все равно воссоздаст подключение при следующем запуске;
Print. Этот общий ресурс используется для обмена файлами драйвера принтера в окружении, где есть общий принтер. Хотя теоретически эту общую папку также можно использовать в злонамеренных целях, лучше не отключать ее, если к вашему компьютеру подключен общий принтер;
wwwroot$. Этот общий ресурс присутствует в списке, когда на компьютере установлено программное обеспечение Microsoft Internet Information Server. He меняйте его, если ваш компьютер используется в качестве веб-сервера или платформы разработки сетевого ПО.
9. Закончив, перезапустите Windows. Снова откройте утилиту Управление компьютером, чтобы удостовериться, что административные общие ресурсы не восстали из пепла.
Некоторые администраторы не одобряют такой подход. В конце концов, скрытые административные общие ресурсы придуманы не просто так. Они позволяют сетевым администраторам устанавливать программы, выполнять дефрагментацию диска, обращаться к реестру и удаленно проводить другие мероприятия по обслуживанию компьютера. Однако спросите себя, часто ли вы это делаете?
Административные общие ресурсы также необходимы функции Предыдущие версии. Отключите административный общин доступ, и вкладка Предыдущие версии в окне Свойства любого файла очистится. Дальше я расскажу, как заткнуть дыру в безопасности, сохранив возможность обращаться к предыдущим версиям.
Если вы все еще колеблетесь, вспомните, что пароли Windows можно сломать множеством способов. Теперь проблема очевидна? Если ваш компьютер не входит в корпоративную сеть, и вы никогда не прибегаете к удаленному управлению, то, оставив лазейку открытой, вы ничего не приобретаете - зато можете потерять все.

Приятно ощущать» что в мире, где постоянно приходится волноваться о шпионских программах, фишинге и попытках взлома беспроводных сетей, есть нечто постоянное - как и прежде, Windows сама дружелюбно открывает двери для всех этих угроз. Вам настолько приятно, что вы попросту выходите из себя при одной мысли об этом.

Оказывается, в каждой Windows 7 есть потайной ход, через который кто угодно может добраться до любого файла на вашем компьютере; эта уязвимость существует также и в Windows 2000, ХР и Vista.

По умолчанию к жестким дискам на компьютере открыт общий доступ. Вы все правильно поняли, ко всем жестким дискам можно обратиться извне.

Что еще хуже, эти подключения скрыты, то есть диски не отображаются в папке Сеть (Network) Проводника Windows, и поэтому большинство пользователей даже не подозревают, какой угрозе подвергаются их данные.

Для того чтобы скрыть любую общую папку, при создании общего ресурса добавьте к его имени символ $ - например, Desktop$. Теперь, чтобы обратиться к этой папке, введите в адресной строке Проводника Window s ее UNC-путь (например, \\Xander\ Desktop$) и нажмите Enter.

Можно проверить свой компьютер: откройте Проводник Windows (еще лучше - откройте Проводник Windows на другом компьютере в сети) и введите в адресной строке имя своего компьютера, а затем имя административного общего ресурса для диска С:, например:

\\ваш_компьютер\с$

и нажмите Enter. Если открылось содержимое жесткого диска, значит, на вашем компьютере административный доступ к общим ресурсам разрешен. (Список всех общих папок - скрытых и открытых - можно просмотреть с помощью утилиты Управление компьютером (Computer Management), о которой речь пойдет далее.)

Предположительно, настройки по умолчанию Windows 7 запрещают сетевой доступ к административным общим ресурсам. Если вам удается просмотреть содержимое общего ресурса с$ со своего компьютера, но не с других, значит, " вашему компьютеру с этой точки зрения ничего не угрожает. Но не удивляйтесь, если увидите содержимое своего диска С: с другого компьютера в сети. Microsoft уверяет, что заделала эту дыру, однако практика доказывает обратное. О том, как сохранить административный доступ к общим ресурсам, но скрыть их от удаленных компьютеров, рассказывается в следующем подразделе.

К сожалению, для того чтобы отключить административные общие ресурсы, недостаточно всего лишь запретить удаленный доступ к дискам. Нужно отключить механизм, который автоматически разрешает его при каждом включении компьютера. Сделайте следующее:

1. Откройте Редактор реестра (см. главу 3).

2. Разверните ветвь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters.

4. Теперь дважды щелкните на параметре AutoShareWks, введите 0 в поле Значение (Value data) и нажмите ОК. (И снова, если такого параметра нет, создайте его аналогичной командой.)

5. Закройте Редактор реестра.

6. Откройте меню Пуск, в поле поиска введите compmgmt.msc и нажмите Enter. Откроется утилита Управление компьютером (Computer Management). Ее также можно открыть, щелкнув правой кнопкой мыши на пункте Компьютер (Computer) в меню Пуск и выбрав команду Управление (Manage).

7. В левой панели разверните пункт Служебные программы (System Tools), затем Общие папки (Shared Folders) и щелкните на папке Общие ресурсы (Shares).

Здесь отображается список всех общих папок на компьютере независимо от того, скрыты они или нет. Даже если вас не волнует проблема административных общих ресурсов, этот инструмент удобно применять для отслеживания существующих подключений. Кстати, список общих ресурсов можно просмотреть и в Командной строке, выполнив команду net view /all Wlocalhost. Для удаления общего ресурса применяется команда net use /delete ресурс, где ресурс - это имя общего ресурса.

8. Для того чтобы вручную удалить административные общие ресурсы, щелкните на каждом из них (С$, D$, Е$ и т. д.) правой кнопкой мыши и в контекстном меню выберите команду Прекратить общий доступ (Stop Sharing). В обоих окнах запроса отвечайте Да (Yes).

Здесь можно удалить любые скрытые общие ресурсы (то есть все, название чего заканчивается знаком доллара), за исключением следующих трех:

тивной среды это мало кому нужно). Доказано, что взлом компьютера через общий ресурс 1РС$ возможен, однако единственный способ отключить его - навсегда запретить общий доступ к любым файлам. Можно временно остановить общий доступ к ресурсу 1РС$ -Windows все равно воссоздаст подключение при следующем запуске;

льзовать в злонамеренных целях, лучше не отключать ее, если к вашему компьютеру подключен общий принтер;

р используется в качестве веб-сервера или платформы разработки сетевого ПО.

9. Закончив, перезапустите Windows. Снова откройте утилиту Управление компьютером (Computer Management), чтобы удостовериться, что административные общие ресурсы не восстали из пепла.

Некоторые администраторы не одобряют такой подход. В конце концов, скрытые административные общие ресурсы придуманы не просто так. Они позволяют сетевым администраторам устанавливать программы, выполнять дефрагментацию диска, обращаться к реестру и удаленно проводить другие мероприятия по обслуживанию компьютера. Однако спросите себя, часто ли вы это делаете?

Административные общие ресурсы также необходимы функции Предыдущие версии (Previous Versions) (об этом говорилось в разделе «Назад в прошлое - используем точки восстановления и теневые копии»). Отключите административный общин доступ, и вкладка Предыдущие версии (Previous Versions) в окне Свойства (Properties) любого файла очистится. Дальше я расскажу, как заткнуть дыру в безопасности, сохранив возможность обращаться к предыдущим версиям.

Одна из задач системного администрирования в корпоративной сети – управление доступом. В частности, доступ к компьютерам с правами администратора должен жестко регламентироваться.

Со времен Windows 2000 и Windows XP существует встроенная учетная запись локального администратора, что создаёт массу проблем для контроля доступа: один пароль на сотни или тысячи компьютеров известный множеству людей без возможности его поменять в течение долгих лет – беда! Уже давно рекомендуется переименовывать, либо выключать эту учётную запись и создавать собственную. Это затрудняет осуществление атак с использованием локальных административных учёных записей, но не исключает подобные угрозы.

Не так давно появилось средство для периодической смены пароля учётной записи локального администратора – . С его помощью можно решить множество проблем, но не все. Например, как быть если есть несколько групп обслуживающего персонала и политика предприятия предписывает иметь каждой группе свою локальную административную учётную запись?

Но вернёмся к угрозам. Понятно, что, имея локальный доступ к компьютеру, злоумышленник может взломать систему безопасности Windows, получить доступ к кэшу пароля локального администратора (или иной административной учётной записи) и использовать его для подключения к другим компьютерам по сети.

Единственный способ запретить удаленное подключение к компьютеру с использованием локальной административной записи это указать SID учётной записи в политике «Deny access to this computer from the network» (и возможно «Deny log on through Remote Desktop Services»). Если таких учётных записей много, то придется перечислить их всех в групповой политике. А это уже человеческий фактор, и есть вероятность, что будут ошибки в конфигурации.

Хорошая новость в том, что, начиная с версии Windows 8.1/2012 R2, реализована новая возможность: можно не перечислять локальные учётные записи, а указать общий для всех них SID. Таких SID два: «все локальные учётные записи» и «все локальные административные учётные записи»:

S-1-5-113: NT AUTHORITY\Local account

S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

Хорошая новость также в том, что эта возможность портирована на Windows 7/8/2008 R2/2012 (KB 2871997).

Надо отметить ещё один простой способ частичной защиты от рассматриваемой угрозы – фаэрвол. Есть два момента.

1. С помощью групповых политик можно указать с каких адресов или сетей можно выполнять удаленное подключение к управляющим интерфейсам компьютера. Как правило политика безопасности предприятия предписывает, чтобы компьютеры администраторов находились как минимум в специальной управляющей сети, либо даже на жестко заданных адресах.
2. Отдельно надо обратить внимание на разрешение подключаться к шарам расположенных на персональных компьютерах. Общего решения нет. Но обычно политика предприятия в этом отношении жёсткая – никаких пользовательских шар. Если разрешается, то только доступ к административным шарам и это должно быть разрешено только администраторам как указано в п.1. Но если используются расшаренные принтеры на персональных компьютерах, то единственный простой способ позволить это не разрушая систему защиты – добавить разрешение (правило) для Local Network (иначе пользователи не смогут подключать расшаренные принтеры с соседнего компьютера).

И последнее дополнение. Не забываем про

Столкнулся с тем, что не удается удаленно подключиться к дефолтным административным шарам (которые с долларом) на компьютере с Windows 10 под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора () такой доступ работает.

Немного подробнее как выглядит проблема. Пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном фаерволе) таким образом:

• \\win10_pc\C$
• \\win10_pc\D$
• \\win10_pc\IPC$
• \\win10_pc\Admin$

В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально. Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.

Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ таким учеткам. При доступе под доменным аккаунтом такое ограничение не налагается.

Отключить Remote UAC можно путем создания в системном реестре параметра

Совет . Эта операция несколько снижает уровень безопасности системы.

Примечание . Создать указанный ключ можно всего одной командой

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

После загрузки попробуйте удаленно открыть каталог административный каталог C$ на Windows 10 компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:\.

Примечание . Станет доступен и другой функционал удаленного управления Windows 10, в том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управления компьютером).

Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Данная инструкция применима также к Windows 8.x, 7 и Vista.