Sicherheitsproblem mit meiner Windows 7 Box bei der Arbeit

41

Diese Frage mag seltsam und falsch formuliert sein, aber ich bin in keiner Weise ein Windows-Experte, also zögern Sie nicht, mich zu korrigieren.

Die Gruppe, in der ich mich gerade befinde, hat neue Computer bei der Arbeit. Sie gaben mir einen neuen Computer und meinen alten Computer für eine Woche an das Netzwerk angeschlossen , damit ich meine Zeit übertrug notwendige Dateien nehmen könnte / configs usw. Die Unterstützung Guy sagte : „Gehen Sie einfach auf‚Ausführen‘und geben Sie in \\PCNAME\c$. Also ich habe Und siehe da, da ist mein altes Laufwerk C. Ich dachte mir: "Was für ein riesiges Sicherheitsproblem. Ich werde einfach alles schnell übertragen und dann die Freigabe aufheben. "

Das Ende des Tages kam und ich loggte mich über den Remote-Desktop ein und klickte mit der rechten Maustaste auf das Laufwerk C. Aber es wurde nicht geteilt. Ich rief The Support Guy an und erklärte ihm, dass ich nicht wollte, dass mein C-Laufwerk das ganze Wochenende über allen im Netzwerk zur Verfügung steht. Er wirkte verwirrt. Er sagte: "Es ist nicht wirklich" freigegeben ". Wenn Sie zur Eingabeaufforderung gehen und eingeben, erhalten \\ANYPCNAME\c$Sie ihr C-Laufwerk. So ist es."

Ich legte auf und ging zu einem Kollegen, schaute auf seinen PC-Namen (auf jedem Computer befindet sich ein Aufkleber) und ging dann zu meinem Schreibtisch zurück und legte eine helloDatei auf seinen Schreibtisch.

Ich behalte nichts Persönliches auf meinem Arbeitscomputer, aber es gibt bestimmte Sicherheitsbedenken. Nicht wirklich aus der Gruppe, in der ich bin, sondern aus den Hunderten anderer Mitarbeiter im Netzwerk (und in der Domäne), die ich nicht kenne. Ich verstehe mich gut mit praktischen Witzen, aber was ist, wenn jemand einen unbekannten Groll gegen mich hat (oder jemand mit einem ähnlichen Namen oder Computernamen) und Dokumente, die Teil eines Projekts sind, böse Worte gegen meinen Chef hinzufügt?

Ist dies ein Teil der Funktionsweise von Windows-Domänen? Gibt es irgendwelche Schritte, die ich unternehmen kann, um meine Box ein wenig sicherer zu machen? Denken Sie daran, dass ich Administratorrechte für die Box habe, aber im Hinblick auf das Netzwerk oder die Domain nichts ändern kann. Selbst eine Erklärung der Vorgänge wäre eine große Hilfe, da dies gegen alles verstößt, von dem ich weiß, dass es bei Computersystemen im Allgemeinen „ziemlich einfach“ ist. Ich kenne mich besser mit Linux aus, daher ist mir Windows World ein bisschen fremd.

Nachverfolgen

Habe meine Besorgnis darüber bei der Arbeit geäußert. Mir wurde gesagt: "Niemand weiß etwas über das Laufwerk, also gibt es nichts, worüber man sich Sorgen machen müsste." Befolgte Darths Lösung und fügte diesen Registrierungsschlüssel hinzu. Jetzt werde ich abwarten, ob jemand alarmiert wird.

Josh Johnson
quelle
6
Das ist total verrückt. Es muss eine einfache Möglichkeit geben, dies zu deaktivieren.
James T Snell
6
Es ist nicht total verrückt. So ist Fenster gestaltet und das aus gutem Grund. Siehe meine weitere Antwort unten.
music2myear
13
Und nein, Ihre Frage ist nicht im Geringsten seltsam, und Sie haben sie aufgrund Ihrer von Ihnen selbst beschriebenen Nicht-Sachkenntnis ausgezeichnet beschrieben. Sie waren aufmerksam und nachdenklich, und ich wünschte, es wäre sogar ein Zehntel meiner Nutzer.
music2myear
4
+1, weil Ihre Bedenken vernünftig und berechtigt sind.
Randolf Richardson
2
Oh wow, das ist wirklich beunruhigend. Beachten Sie, dass dies möglicherweise auch auf Arbeitsstationen funktioniert, die von der Personalabteilung verwendet werden. Ich glaube nicht, dass das Unternehmen will, dass willkürliche Mitarbeiter lesen können (viel weniger modifizieren!)
Tim Post

Antworten:

38

Was Sie sehen, ist eines, das Administrative Sharesauf jedem Windows-Computer für alle nicht austauschbaren Laufwerke als aktiviert ist \\computername\driveletter$. Sie sollte jedoch nur für Personen zugänglich sein, die der lokalen Administratorgruppe angehören (es scheint, als ob die Gruppe Domänenadministratoren oder Domänenbenutzer der lokalen Administratorgruppe hinzugefügt wurde).

Die traurige Tatsache im Leben ist, dass Sie sie nicht wirklich vollständig deaktivieren können, ohne dass etwas anderes verloren geht (Sie können zum Beispiel Filesharing deaktivieren, aber dann können Sie keine Dateien freigeben ...). Da es sich um versteckte Freigaben handelt (wie durch das $am Ende gekennzeichnet), können Sie diese beim Broswing nicht anzeigen. Sie werden jedoch angezeigt \\computername, wenn Sie net shareeine Eingabeaufforderung eingeben .

Das Deaktivieren sollte nicht Ihre erste Maßnahme sein, wenn der Support-Mitarbeiter bereit ist, ein wenig Grund zur Kenntnis zu nehmen. Bitten Sie ihn, die Berechtigungen zu beschränken, die reguläre Benutzer auf Computern über das Netzwerk haben, damit sie nicht mit den Dateien des anderen herumspielen können. oder sehen Sie, ob er Benutzerprofile und Dokumente auf einen Server-Fileshare verschieben wird (die bessere, aber viel aufwendigere Lösung).

Wenn er dies nicht beheben kann oder will, können Sie sie durch Eingabe vorübergehend deaktivieren. net share c$ /deleteWindows erstellt sie jedoch jedes Mal neu, wenn der Computer neu gestartet wird. Möglicherweise können Sie diese Befehle in eine Batchdatei einfügen, die beim Start ausgeführt wird.

Wenn Sie wirklich wollen Ihren Computer zu sichern, ist es auch Aktien genannt versteckt admin$und IPC$die beide könnten viele Informationen über Ihren Computer zu offenbaren und es die Dateien an jemanden auf dem Netzwerk , die Sie deaktivieren können.

Wie in anderen Antworten erwähnt, gibt es möglicherweise Programme, die von der Verfügbarkeit dieser Freigaben abhängen. Dies kann die Aufmerksamkeit von Support Guy auf sich ziehen, wenn er versucht, eine der administrativen Freigaben zu verwenden, um Ihr System zu warten, und nicht darauf zugreifen kann.

Bearbeiten:

Es scheint, dass Sie die Root-Partitionsfreigaben ( c$, d$usw.) mit dem folgenden Registrierungsschlüssel deaktivieren können (erstellen, wenn er nicht vorhanden ist):

Struktur: HKEY_LOCAL_MACHINE
Schlüssel: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareWks
Datentyp: REG_DWORD
Wert:0

Dadurch wird die IPC$Freigabe jedoch nicht deaktiviert .

Darth Android
quelle
1
+1 - Ich wollte die Informationen in Ihre Bearbeitung aufnehmen, aber Sie haben mich geschlagen. ;)
ᴇcƬᴇιʜ007
14
Das Löschen von administrativen Freigaben ist niemals eine gute Startoption. Es gibt Gründe, die dafür sprechen, und eine ordnungsgemäß gesicherte Umgebung weist aufgrund dieser Gründe keine Sicherheitsprobleme auf. Es sind die Kontoprivilegien, die in erster Linie angesprochen werden müssen.
music2myear
1
@ music2myear Er sagte, er habe keine Kontrolle über die Netzwerk- oder Domänenrichtlinie, also nahm ich an, dass die Kontoberechtigungen nicht in der Liste der Optionen aufgeführt sind. Wenn er dieses Problem lokal behebt (z. B. durch Entfernen von Domänenadministratoren aus der Gruppe der lokalen Administratoren), hat dies den gleichen Effekt wie das Deaktivieren der Freigaben (der Effekt ist der Zugriff auf die Freigaben aus dem Netzwerk zum Installieren von Software oder dgl.
Darth Android
1
Dies ist eher ein Richtlinienproblem als ein Entwurfsproblem. Zum Beispiel ist das nicht möglich, wo ich bin. Aber wenn Sie nicht viel Erfahrung in Active Directory haben, kann ich sehen, wie sie es einrichten, wo jeder dies tun kann. . .
Surfasb
1
Die meisten Benutzer haben (oder sollten) keine Kontrolle über Netzwerk- oder Domänenrichtlinien. Ein oder zwei Fragen an das entsprechende Management oder IT-Personal können jedoch dazu beitragen, eine angemessene und wahrscheinlich notwendige Überprüfung der IT-Sicherheitsrichtlinie einzuleiten.
music2myear
16

Ihr Benutzerkonto ist wahrscheinlich auf allen PCs im Netzwerk als Administrator eingerichtet. Dafür kann es verschiedene Gründe geben, von denen die meisten nicht die besten sind.

Auf jedem Computer in einer Domäne wird jedes Laufwerk für die so genannte administrative Freigabe freigegeben. Diese Freigabe ist immer der Laufwerksbuchstabe, gefolgt von $. Wie Sie es gesehen haben: C $. Dies steht immer allen Benutzern zur Verfügung, deren Konten Administratoren auf diesem Computer sind. Es gibt gute Gründe dafür. Die meisten Patch-Programme verwenden dies ebenso wie viele Sicherheitsprogramme. SupportGuys wie ich verwenden es auch, um Dateien zu reparieren, zu diagnostizieren, zu beheben und Benutzerhilfe zu leisten, um nur einige zu nennen.

Sie möchten im Allgemeinen keine Administratorfreigabe löschen, es sei denn, Sie sind sicher, dass in Ihrem Netzwerk keine erforderlichen Programme vorhanden sind, die dies erfordern. Beispiel: Möglicherweise muss SupportGuy diese Freigabe verwenden, um wichtige Updates auf Ihrem Computer bereitzustellen.

Das Problem tritt auf, wenn alle regulären Benutzerkonten im Netzwerk Administratoren sind. Dies ist das Problem und dies sollte in Ihrem Büro behoben werden. Sie sollten Benutzer oder Hauptbenutzer sein, abhängig von den erforderlichen Berechtigungen. Mit speziellen Fällen für Personen, die tatsächlich Administratorrechte benötigen.

UPDATE Adressierung anderer Antworten: Ich würde dringend davon abraten, die administrative Freigabe zu deaktivieren, es sei denn, Sie wissen wirklich, dass es keine Systeme gibt, die dies erfordern. Zunächst sollten Sie herausfinden, warum Ihr Konto über Domänenadministratorberechtigungen verfügt und ob dies wirklich erforderlich ist. Auf diese Weise werden Sicherheitsprobleme im gesamten Netzwerk behoben, nicht nur ein kleines Symptom, das Sie hier entdeckt haben. Wenn es keinen legitimen Grund für Sie gibt, Domainadministratorrechte zu besitzen, und der SupportGuy nicht bereit ist, diese Rechte zu entfernen, sollten Sie in Betracht ziehen, die administrative Freigabe tatsächlich zu entfernen.

music2myear
quelle
5
Zu Administratorrechten: Dies tritt nur auf, wenn der Benutzer ein Domänenadministrator oder ein lokaler Administrator auf dem Ziel- PC ist. Dies passiert nicht, wenn der Benutzer ein lokaler Administrator auf seinem eigenen PC ist, der andere jedoch nicht.
Grawity
3
Er ist möglicherweise kein Administrator im gesamten Netzwerk. Häufig fügen einige Administratoren beim Einrichten eines Computers die Gruppe des Domänenbenutzers zur lokalen Administratorgruppe hinzu, sodass jeder, der nicht erreichbar ist, Dinge usw. installieren kann. Wenn Sie dies auf jedem Computer tun, haben Sie den Effekt, überall Administrator zu sein , aber die Server.
KCotreau,
Aus diesem Grund habe ich das weniger technische Verb "Ihr Benutzerkonto ist wahrscheinlich als Administrator im Netzwerk eingestellt" verwendet. Es hätte expliziter formuliert werden können, aber für eine Person mit dieser Fähigkeit und diesem Know-how fühlte ich mich angemessen.
music2myear
1
Diese Situation klingt viel beängstigender als ich dachte. Ich möchte den Topf nicht wirklich umrühren, aber ich werde dies am Montag The Support Guy oder dem Netzwerkadministrator mitteilen. Ich kann es nicht wirklich gleiten lassen.
Josh Johnson
11

Der C $ ist die administrative Freigabe. Sie sollten es wahrscheinlich nicht deaktivieren, da es die Dinge beschädigen kann.

Das eigentliche Sicherheitsproblem hier ist, dass es sich so anhört, als hätten sie alle Administratoren auf jedem Computer eingerichtet (möglicherweise durch Hinzufügen von Domänenbenutzern zur lokalen Administratorgruppe).

In gewisser Weise sollte das kein Problem sein, da ich persönlich nicht der Meinung bin, dass irgendetwas lokal gespeichert werden sollte und dass "Meine Dokumente" auf Ihr persönliches zugeordnetes Laufwerk auf dem Server umgeleitet werden sollte, was nicht der Fall wäre Zugang haben, es sei denn, es gab eine noch größere Sicherheitslücke.

KCotreau
quelle
+1 für zugeordnete Eigene Dateien. Ich denke darüber nach, dies in meinem Büro als Sicherheitserweiterung zu tun. Ich habe es bereits auf meinem Computer ausgeführt und es funktioniert wie ein Zauber.
music2myear
Hervorragende Punkte (+1). Wenn ein Benutzer Administrator auf seinem lokalen Computer ist, werden viele Probleme mit nicht ordnungsgemäß funktionierender oder installierender (oder aktualisierender) Software vermieden. Normalerweise ist es viel mühsamer, keine Administratorrechte zu gewähren, sondern allen Computern im Netzwerk scheint unnötig.
Randolf Richardson
2

Wie jeder gesagt hat, ist driveletter $ eine Tatsache des Windows-Lebens.

Aber warum sind Sie Administrator auf dem Desktop Ihrer Kollegen? Und .. ich würde bestätigen, dass er ein Administrator auf Ihrem Desktop ist? Dies ist das eigentliche Problem hier.

Selbst wenn Sie die Administratorfreigabe entfernen würden ... nichts hindert die Benutzer daran, sich auf Ihrem Desktop anzumelden und auf Ihre Dateien zuzugreifen, da sie Administratoren auf Ihrem Computer sind. Die Freigabe ist nur eine praktische Möglichkeit, die Anmeldung zu umgehen.

Da Sie ein Administrator auf Ihrem Computer sind, schaue ich mir die Administratorgruppe an, füge Sie explizit hinzu und entferne dann die Domänenbenutzergruppe, die wahrscheinlich vorhanden ist.

itchi
quelle
1
Das ist die größere Gefahr. Ich denke, es war nicht offensichtlich, aber die Leute, die empfehlen, Admin-Freigaben zu deaktivieren, verpassen das große Ganze. Wer hat sonst noch Administratorrechte? Angesichts der Tatsache, dass Ihre Rolle in der Firma nicht einzigartig ist, würde mich das mehr erschrecken. Wenn Sie netzwerkweite Administratorrechte haben, wer sonst ??????
Surfasb
1

Rechtsklick auf "Computer" (Startmenü)

Wählen Sie "Verwalten"

Erweitern Sie "Freigegebene Ordner"

Klicken Sie auf "Shares"

Im rechten Bereich sehen Sie alle Freigaben auf diesem PC, alle mit $ sind versteckte Freigaben. Sie können mit der rechten Maustaste auf C $ klicken und "Freigabe beenden" auswählen.

Wie von Darth vorgeschlagen, wird die Freigabe beim Neustart neu erstellt.

Sie können es in der Registrierung deaktivieren, aber ich glaube nicht, dass Ihr Unternehmen dies zu schätzen wissen würde.

Sie können die Dateifreigabe auch in der Windows-Firewall deaktivieren. Dadurch werden jedoch alle Dateifreigaben gelöscht.

.

Moab
quelle
Und es wird die Warnung "Diese Freigabe wurde nur zu Verwaltungszwecken erstellt. Die Freigabe wird erneut angezeigt, wenn der Serverdienst angehalten und neu gestartet oder der Computer neu gestartet wird. Möchten Sie die Freigabe von C $ wirklich beenden?"
ƬᴇcƬᴇιᴇ007
0

Die Wikipedia-Seite über administrative Freigaben sollte Ihre Fragen beantworten. Grundsätzlich ist Ihr Konto für den Zugriff auf diese Freigaben entweder direkt oder indirekt (höchstwahrscheinlich) Teil der lokalen Verwaltungsgruppe auf allen Computern.

Eine Möglichkeit , die Gruppen anzuzeigen , die Sie in sind , ist durch über die Kommandozeile ausgeführt wird : gpresult /R. Persönlich klingt Ihre IT-Abteilung unpassend, wenn alle Benutzer lokalen Administratorzugriff auf alle Computer haben. Vor diesem Hintergrund habe ich das Gefühl, dass Sie immer noch keine Änderungen vornehmen sollten, aber das würde ich tun:

  • Öffnen Sie die Computerverwaltung (Rechtsklick auf Computer, Verwalten)
  • Wählen Sie links: Systemprogramme \ Lokale Benutzer und Gruppen \ Gruppen
  • Doppelklicken Sie auf die AdministratorsGruppe.

Jeder, der Mitglied oder Mitglied einer Gruppe in der AdministratorsGruppe ist, hat Zugriff auf Ihre administrativen Freigaben. Das erste, was ich tun würde, ist, Ihr Konto direkt hinzuzufügen, wenn es nicht bereits als ausfallsicher vorhanden ist, wenn Sie anfangen, zu viel Spaß zu haben Zugriff.

daalbert
quelle