Administrativní přístup k místním jednotkám c d. Vzdálený administrativní přístup k systému Windows

Administrativní přístup k místním jednotkám c d. Vzdálený administrativní přístup k systému Windows

Je příjemné cítit, že ve světě, kde se neustále musíte bát spywaru, phishingu a pokusů o nabourání bezdrátových sítí, existuje něco stálého – stejně jako dříve i sám Windows přátelsky otevírá dveře všem těmto hrozbám. Jste tak potěšeni, že při pouhém pomyšlení na to prostě ztrácíte nervy.
Ukázalo se, že každý Windows 7 má tajný průchod, kterým se kdokoli může dostat k libovolnému souboru ve vašem počítači; tato chyba zabezpečení existuje také ve Windows 2000, XP a Vista.
Ve výchozím nastavení jsou pevné disky v počítači sdíleny. Vše jste pochopili správně, všechny pevné disky jsou přístupné externě. Horší je, že tato připojení jsou skrytá, což znamená, že se disky nezobrazují ve složce Síť v Průzkumníku Windows, takže si většina uživatelů ani neuvědomuje, jak moc jsou jejich data ohrožena.
Chcete-li skrýt jakoukoli sdílenou složku, při vytváření sdílené složky přidejte k jejímu názvu symbol $ – například Desktops. Nyní pro přístup k této složce zadejte její cestu UNC do adresního řádku Průzkumníka Windows a stiskněte Enter.
Svůj počítač můžete zkontrolovat: Otevřete Průzkumníka Windows a do adresního řádku zadejte název svého počítače následovaný názvem sdílené složky pro správu pro jednotku C:, například:
\\váš_počítač\c$ a stiskněte Enter. Pokud se obsah vašeho pevného disku otevře, znamená to, že ve vašem počítači je povolen přístup správce ke sdíleným prostředkům.
Bohužel k deaktivaci sdílených složek pro správu nestačí jednoduše zakázat vzdálený přístup k jednotkám. Je třeba deaktivovat mechanismus, který to automaticky řeší pokaždé, když zapnete počítač. Udělej následující:
1. Otevřete Editor registru.
2. Rozbalte větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.
3. Poklepejte na parametr AutoShareServer v pravém podokně, do pole Hodnota zadejte 0 a klepněte na OK. Vytvořit hodnotu DWORD)
4. Nyní dvakrát klikněte na možnost AutoShareWks, do pole Hodnota zadejte 0 a klikněte na OK.
5. Zavřete Editor registru.
6. Otevřete nabídku Start, do vyhledávacího pole zadejte coirpmgmt.msc a stiskněte klávesu Enter. Otevře se nástroj Správa počítače. Můžete jej také otevřít kliknutím pravým tlačítkem na Počítač v nabídce Start a výběrem Spravovat.
7. V levém podokně rozbalte položku Utilities (Nástroje), potom Shared Folders (Sdílené složky) a klepněte na složku Shared Resources (Sdílené zdroje).
Zobrazí se seznam všech sdílených složek ve vašem počítači, ať už jsou skryté nebo ne. I když vás ten administrativní problém nezajímá. Chcete-li odstranit sdílený prostředek, použijte příkaz net use /delete resource, kde prostředek je název sdílené položky.
8. Chcete-li ručně odstranit administrativní sdílené složky, klepněte pravým tlačítkem na každou z nich az kontextové nabídky vyberte příkaz Zastavit sdílení. V obou výzvách odpovězte Ano.
Zde můžete odstranit jakékoli skryté sdílené položky, kromě následujících tří:
1PC$, což znamená meziprocesovou komunikaci. Tato sdílená složka se používá ke vzdálenému ovládání počítače. Bylo prokázáno, že hacknutí počítače prostřednictvím sdílení 1PC$ je možné, ale jediný způsob, jak to zakázat, je trvale zakázat sdílení přístupu k jakýmkoli souborům. Sdílení prostředku 1PC$ můžete dočasně zastavit – systém Windows při příštím spuštění připojení stále znovu vytvoří;
Tisk. Toto sdílení se používá ke sdílení souborů ovladače tiskárny v prostředí, kde je sdílená tiskárna. Ačkoli by tato sdílená složka mohla být teoreticky také použita pro škodlivé účely, je nejlepší ji nezakazovat, pokud máte k počítači připojenou sdílenou tiskárnu;
wwwroot$. Tato sdílená položka je uvedena, když je v počítači nainstalován software Microsoft Internet Information Server. Neměňte jej, pokud je váš počítač používán jako webový server nebo platforma pro vývoj síťového softwaru.
9. Po dokončení restartujte systém Windows. Znovu otevřete Správa počítače, abyste se ujistili, že administrativní podíly nevstaly z popela.
Někteří správci tento přístup neschvalují. Koneckonců, skryté administrativní podíly jsou vynalezeny z nějakého důvodu. Umožňují správcům sítě instalovat programy, defragmentovat disky, přistupovat k registru a provádět další úkoly údržby počítače na dálku. Zeptejte se však sami sebe, jak často to děláte?
Sdílené složky pro správu také vyžadují funkčnost předchozích verzí. Zakažte přístup administrátorské komunity a karta Předchozí verze v okně Vlastnosti libovolného souboru bude vymazána. Dále vám řeknu, jak zacpat bezpečnostní díru při zachování možnosti přístupu k předchozím verzím.
Pokud stále váháte, pamatujte, že hesla Windows lze prolomit mnoha způsoby. Je problém nyní zřejmý? Pokud váš počítač není součástí podnikové sítě a nikdy se neuchýlíte ke vzdálenému ovládání, pak tím, že necháte mezeru otevřenou, nic nezískáte – ale můžete ztratit všechno.

Je příjemné cítit, že ve světě, kde se neustále musíte bát spywaru, phishingu a pokusů o bezdrátové hackování, existuje něco neustálého – stejně jako dříve i sám Windows přátelsky otevírá dveře všem těmto hrozbám. Jste tak potěšeni, že při pouhém pomyšlení na to prostě ztrácíte nervy.

Ukázalo se, že každý Windows 7 má tajný průchod, kterým se kdokoli může dostat k libovolnému souboru ve vašem počítači; tato chyba zabezpečení existuje také ve Windows 2000, XP a Vista.

Ve výchozím nastavení jsou pevné disky v počítači sdíleny. Vše jste pochopili správně, všechny pevné disky jsou přístupné externě.

Horší je, že tato připojení jsou skrytá, což znamená, že se disky nezobrazují ve složce Síť v Průzkumníku Windows, takže většina uživatelů netuší, jak jsou jejich data ohrožena.

Chcete-li skrýt jakoukoli sdílenou složku, při vytváření sdílené složky přidejte k jejímu názvu symbol $ – například Desktop$. Nyní pro přístup k této složce zadejte její UNC cestu do adresního řádku Průzkumníka Windows (například \\Xander\ Desktop$) a stiskněte Enter.

Svůj počítač můžete zkontrolovat: spusťte Průzkumníka Windows (ještě lépe otevřete Průzkumníka Windows na jiném počítači v síti) a do adresního řádku zadejte název svého počítače a za ním název sdílené složky pro správu pro jednotku C: pro příklad:

\\váš_počítač\c$

a stiskněte Enter. Pokud se obsah vašeho pevného disku otevře, znamená to, že ve vašem počítači je povolen přístup správce ke sdíleným prostředkům. (Seznam všech sdílených složek – skrytých i otevřených – můžete zobrazit pomocí nástroje Správa počítače, o kterém bude řeč později.)

Předpokládá se, že výchozí nastavení systému Windows 7 zakazuje síťový přístup ke sdíleným složkám pro správu. Pokud si můžete obsah sdílené složky C$ prohlížet ze svého počítače, ale nikoli z jiných, pak „váš počítač z tohoto pohledu není v ohrožení, ale nedivte se, že uvidíte obsah svého disku C: jiný počítač v síti ujišťuje , který tuto díru opravil, ale praxe ukazuje opak Další podkapitola popisuje, jak zachovat administrativní přístup ke sdíleným zdrojům, ale skrýt je před vzdálenými počítači.

Bohužel k deaktivaci sdílených složek pro správu nestačí jednoduše zakázat vzdálený přístup k jednotkám. Je třeba deaktivovat mechanismus, který to automaticky řeší pokaždé, když zapnete počítač. Udělej následující:

1. Otevřete Editor registru (viz kapitola 3).

2. Rozbalte větev HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters.

4. Nyní dvakrát klikněte na parametr AutoShareWks, do pole Údaj hodnoty zadejte 0 a klikněte na OK. (Pokud žádný takový parametr neexistuje, vytvořte jej pomocí podobného příkazu.)

5. Zavřete Editor registru.

6. Otevřete nabídku Start, do vyhledávacího pole zadejte compmgmt.msc a stiskněte klávesu Enter. Otevře se nástroj Správa počítače. Lze jej také otevřít kliknutím pravým tlačítkem myši na Počítač v nabídce Start a výběrem možnosti Spravovat.

7. V levém podokně rozbalte položku Systémové nástroje, poté Sdílené složky a klikněte na složku Sdílené složky.

Zobrazí se seznam všech sdílených složek ve vašem počítači, ať už jsou skryté nebo ne. I když se nestaráte o administrativní sdílené položky, je tento nástroj užitečný pro sledování existujících připojení. Mimochodem, seznam sdílených prostředků můžete zobrazit také v příkazovém řádku spuštěním příkazu net view /all Wlocalhost. Chcete-li odstranit sdílený prostředek, použijte příkaz net use /delete resource, kde prostředek je název sdílené položky.

8. Chcete-li ručně odstranit administrativní sdílené složky, klepněte pravým tlačítkem myši na každou z nich (C$, D$, E$ atd.) az kontextové nabídky vyberte příkaz Zastavit sdílení. V obou výzvách odpovězte Ano.

Zde můžete odstranit jakékoli skryté podíly (tedy cokoli s názvem končícím znakem dolaru), kromě následujících tří:

Málokdo to potřebuje v kreativním prostředí). Bylo prokázáno, že hacknutí počítače prostřednictvím sdílení 1PC$ je možné, ale jediný způsob, jak jej zakázat, je trvale zakázat sdílení přístupu k jakýmkoli souborům. Sdílení prostředku 1PC$ můžete dočasně zastavit – systém Windows při příštím spuštění připojení stále znovu vytvoří;

používat pro škodlivé účely, je lepší jej nevypínat, pokud je k vašemu počítači připojena sdílená tiskárna;

p se používá jako webový server nebo platforma pro vývoj síťového softwaru.

9. Po dokončení restartujte systém Windows. Znovu otevřete Správa počítače a ujistěte se, že administrativní podíly nevstaly z popela.

Někteří správci tento přístup neschvalují. Koneckonců, skryté administrativní podíly jsou vynalezeny z nějakého důvodu. Umožňují správcům sítě instalovat programy, defragmentovat disky, přistupovat k registru a provádět další úkoly údržby počítače na dálku. Zeptejte se však sami sebe, jak často to děláte?

Administrativní sdílené složky také vyžadují funkci Předchozí verze (diskutovanou v části „Zpět v čase – Použití bodů obnovení a stínových kopií“). Zakažte přístup administrátorské komunity a karta Předchozí verze v okně Vlastnosti libovolného souboru bude vymazána. Dále vám řeknu, jak zacpat bezpečnostní díru při zachování možnosti přístupu k předchozím verzím.

Narazil jsem na problém, že se nemohu vzdáleně připojit k výchozím administrativním sdíleným položkám (těm s dolarem) na počítači s Windows 10 pod uživatelem, který je členem místní skupiny administrators. Navíc tento přístup funguje pod vestavěným účtem místního správce ().

Trochu podrobněji o tom, jak problém vypadá. Snažím se přistupovat ze vzdáleného počítače k ​​vestavěným administrativním prostředkům počítače se systémem Windows 10, který je v pracovní skupině (se zakázanou bránou firewall) tímto způsobem:

  • \\win10_pc\C$
  • \\win10_pc\D$
  • \\win10_pc\IPC$
  • \\win10_pc\Admin$

V okně autorizace zadám jméno a heslo účtu, který je členem skupiny lokálních správců Windows 10, ke kterému se objeví chyba přístupu (Přístup odepřen). Přístup ke sdíleným síťovým složkám a tiskárnám v systému Windows 10 však funguje dobře. Funguje také přístup k administrativním zdrojům pod vestavěným administrátorským účtem. Pokud je tento počítač součástí domény Active Directory, pak pod doménovými účty s právy správce také není blokován přístup ke sdíleným položkám správce.

Pointa je v dalším aspektu bezpečnostní politiky, který se v UAC objevil – tzv Vzdálené UAC(Account Control for Remote Connections), která filtruje přístupové tokeny místních účtů a účtů Microsoft a blokuje vzdálený administrativní přístup k těmto účtům. Při přístupu pod doménovým účtem toto omezení neplatí.

Vzdálené UAC můžete zakázat vytvořením parametru v systémovém registru

Rada. Tato operace mírně snižuje úroveň zabezpečení systému.


Poznámka. Zadaný klíč můžete vytvořit pouze jedním příkazem

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

Po stažení zkuste vzdáleně otevřít administrativní adresář C$ v počítači se systémem Windows 10. Přihlaste se pomocí účtu, který je členem místní skupiny administrators. Mělo by se otevřít okno Průzkumníka s obsahem jednotky C:\.

Poznámka. Budou k dispozici další funkce dálkového ovládání Windows 10, včetně toho, že se nyní můžete vzdáleně připojit k počítači pomocí modulu snap-in Počítačový management(Řízení počítače).

Takže jsme přišli na to, jak pomocí parametru LocalAccountTokenFilterPolicy povolit vzdálený přístup ke skrytým prostředkům správce pro všechny místní správce počítače se systémem Windows. Tyto pokyny platí také pro Windows 8.x, 7 a Vista.

Jedním z úkolů správy systému v podnikové síti je řízení přístupu. Zejména by měl být přísně regulován přístup k počítačům s administrátorskými právy.

Od Windows 2000 a Windows XP existuje vestavěný účet místního správce, který způsobuje mnoho problémů s řízením přístupu: jedno heslo pro stovky nebo tisíce počítačů, které mnoho lidí zná bez možnosti jej změnit po mnoho let - potíže! Již dlouho se doporučuje tento účet přejmenovat nebo deaktivovat a vytvořit si vlastní. To ztěžuje provádění útoků pomocí místních administrativních vědeckých záznamů, ale neodstraňuje takové hrozby.

Nedávno se objevil nástroj pro pravidelnou změnu hesla pro účet místního správce -. Může pomoci vyřešit mnoho problémů, ale ne všechny. Co když například existuje několik skupin servisních pracovníků a podniková politika vyžaduje, aby každá skupina měla svůj vlastní místní administrativní účet?

Ale vraťme se k výhrůžkám. Je jasné, že s lokálním přístupem k počítači může útočník hacknout bezpečnostní systém Windows, získat přístup k mezipaměti hesel místního správce (nebo jiného administrátorského účtu) a použít ji k připojení k dalším počítačům přes síť.

Jediným způsobem, jak zabránit vzdálenému připojení k počítači pomocí místního účtu správce, je zadat SID účtu v zásadě „Odepřít přístup k tomuto počítači ze sítě“ (a případně „Odepřít přihlášení prostřednictvím Služby vzdálené plochy“). Pokud existuje mnoho takových účtů, budete je muset všechny uvést v Zásadách skupiny. A to je lidský faktor a existuje možnost, že v konfiguraci budou chyby.

Dobrou zprávou je, že počínaje Windows 8.1/2012 R2 byla implementována nová funkce: nemůžete vypsat místní účty, ale pro všechny zadat společné SID. Existují dvě taková SID: „všechny místní účty“ a „všechny místní administrativní účty“:

S-1-5-113: NT AUTHORITY\Local account

S-1-5-114: NT AUTHORITY\Local účet a člen skupiny Administrators

Dobrou zprávou je, že tato funkce byla přenesena na Windows 7/8/2008 R2/2012 (KB 2871997).

Je třeba poznamenat, že existuje ještě jeden jednoduchý způsob částečné ochrany před dotyčnou hrozbou – firewall. Existují dva body.

  1. Pomocí skupinových zásad můžete určit, ze kterých adres nebo sítí se můžete vzdáleně připojovat k ovládacím rozhraním počítače. Zásady zabezpečení podniku zpravidla vyžadují, aby počítače administrátorů byly umístěny alespoň ve speciální síti pro správu nebo dokonce na pevně zakódovaných adresách.
  2. Samostatně musíte věnovat pozornost oprávnění k připojení ke sdíleným složkám umístěným na osobních počítačích. Obecné řešení neexistuje. Obvykle je však politika společnosti v tomto ohledu přísná - žádné uživatelské akcie. Je-li to povoleno, pak pouze přístup k administrativním sdíleným položkám, a to by mělo být povoleno pouze správcům, jak je uvedeno v odstavci 1. Pokud se ale na osobních počítačích používají sdílené tiskárny, pak jediným jednoduchým způsobem, jak to povolit bez zničení bezpečnostního systému, je přidat oprávnění (pravidlo) pro místní síť (jinak uživatelé nebudou moci připojit sdílené tiskárny ze sousedního počítače) .

A poslední dodatek. Nezapomeň na



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se sám restartuje – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní