Preocupación de seguridad con mi Windows 7 Box en el trabajo

Esta pregunta puede ser extraña y errónea, pero no soy un experto en Windows de ninguna manera, así que siéntase libre de corregirme.

El grupo en el que estoy recientemente tiene nuevas computadoras en el trabajo. Me dieron una computadora nueva y conectaron mi computadora vieja a la red durante una semana para que pudiera tomar mi tiempo transfiriendo los archivos / configuraciones necesarias, etc. El técnico de soporte dijo: "Simplemente vaya a" ejecutar "y escriba \\PCNAME\c$. Así lo hice y, bajo y he aquí, está mi viejo disco C: pensé: "Qué gran problema de seguridad. Transferiré todo rápidamente y luego 'des-compartir' ".

Al final del día llegó y me conecté a través del escritorio remoto e hice clic derecho en la unidad C. Pero no fue compartido. Llamé a The Support Guy y le expliqué que no quería que mi disco C estuviera disponible para todos en la red todo el fin de semana. Parecía confundido. Él dijo: "No es realmente 'compartido'. Si vas al símbolo del sistema y escribes \\ANYPCNAME\c$, obtienes su unidad C. Así es como es".

Colgué el teléfono y me acerqué al escritorio de un compañero de trabajo y miré el nombre de su PC (hay una pegatina en cada computadora) y luego volví a mi escritorio y puse un helloarchivo en su escritorio.

No guardo nada personal en la computadora de mi trabajo, pero hay preocupaciones de seguridad definidas. No realmente del grupo en el que estoy, sino de los cientos de otros empleados en la red (y dominio) que no conozco. Estoy bien con los chistes prácticos, pero ¿qué pasa si alguien tiene un rencor desconocido hacia mí (o alguien con un nombre similar o un nombre de computadora) y agrega un lenguaje desagradable contra mi jefe a los documentos que forman parte de un proyecto?

¿Es esto una parte heredada de cómo funcionan los dominios de Windows? ¿Hay algún paso que pueda tomar para que mi caja sea un poco más segura? Tenga en cuenta que tengo derechos de administrador para el cuadro, pero no puedo cambiar nada en lo que respecta a la red o al dominio. Incluso una simple explicación de lo que está sucediendo sería de gran ayuda, ya que esto va en contra de todo lo que sé que es "bastante básico" sobre los sistemas informáticos en general. Estoy más familiarizado con Linux, por lo que Windows World es un poco extraño para mí.

Seguir

Expresó mis preocupaciones sobre esto en el trabajo. Me dijeron: "Nadie sabe acerca de la unidad $, así que no hay nada de qué preocuparse". Seguí la solución de Darth y agregué esa clave de registro. Ahora esperaré y veré si alguien recibe una alerta.

Lo que está viendo es uno de los Administrative Sharesque está habilitado en cada máquina de Windows para todas las unidades no extraíbles como \\computername\driveletter$. Sin embargo, solo debería ser accesible para alguien que esté en el grupo de Administradores locales (parece que el grupo de Administradores de dominio o Usuarios de dominio se ha agregado al grupo de Administradores local).

El hecho triste de la vida es que realmente no puede deshabilitarlos por completo sin perder algo más a su vez (puede deshabilitar el intercambio de archivos, por ejemplo, pero luego no puede compartir archivos ...). Dado que son recursos compartidos ocultos (como se indica $al final), no puede verlos al broswing \\computername, pero se mostrarán si escribe net shareun símbolo del sistema.

Deshabilitarlos no debería ser su primer curso de acción si Support Guy está dispuesto a escuchar un poco de razón: pídale que restrinja los permisos que los usuarios regulares tienen en las computadoras a través de la red para que no puedan meterse con los archivos de los demás, o vea si moverá los perfiles de usuario y los documentos a un servidor compartido de archivos (la mejor solución, pero mucho más compleja)

Si no puede o no quiere arreglar esto, puede deshabilitarlos temporalmente escribiendo net share c$ /delete, pero Windows los recreará cada vez que se reinicie la computadora. Es posible que pueda pegar estos comandos en un archivo por lotes que se ejecuta al inicio.

Si realmente desea asegurar su ordenador, también ha ocultado acciones llamada admin$y IPC$que podría revelar tanto una gran cantidad de información acerca de la computadora y sus archivos a alguien en la red que se puede desactivar.

Como se señaló en otras respuestas, puede haber programas que dependen de que estos recursos compartidos estén disponibles, y esto podría llamar la atención de Support Guy si está tratando de usar uno de los recursos compartidos administrativos para ayudar a mantener su sistema y no puede acceder a él.

Editar:

Parece que se puede deshabilitar las acciones partición raíz ( c$, d$, etc.) con la siguiente clave de registro (créelo si no existe):

Colmena: HKEY_LOCAL_MACHINE
Clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nombre: AutoShareWks
Tipo de datos: REG_DWORD
Valor:0

IPC$Sin embargo, esto no deshabilitará el recurso compartido.

Su cuenta de usuario probablemente esté configurada como Administrador en todas las PC de la red. Puede haber varias razones para esto, la mayoría de ellas no es la mejor.

Cada computadora en un dominio tiene cada unidad compartida con lo que se llama y Administración compartida. Este recurso compartido es siempre la letra de unidad seguida de $. Como lo viste: C $. Esto siempre está disponible para todos los usuarios cuyas cuentas son administradores en esa computadora. Hay buenas razones para ello. La mayoría de los programas de parches usan esto, al igual que muchos programas de seguridad. Además, SupportGuys como yo lo usa para llevar archivos desde y hacia las computadoras para reparación, diagnóstico, solución de problemas y asistencia al usuario, solo por nombrar algunos.

Por lo general, no desea eliminar un recurso compartido administrativo a menos que esté seguro de que no hay programas necesarios en su red que lo requieran. Por ejemplo: SupportGuy puede necesitar usar este recurso compartido para implementar actualizaciones críticas en su computadora.

El problema ocurre cuando todas las cuentas de usuario normales en la red como administradores. Este es el problema y esto es lo que debe abordarse en su oficina. Deben ser usuarios o usuarios avanzados, según los permisos necesarios. Con casos especiales para personas que realmente necesitan derechos de administrador.

ACTUALIZACIÓN Abordar otras respuestas: recomendaría no deshabilitar el recurso compartido administrativo a menos que realmente sepa que no hay sistemas que lo requieran. El primer curso de acción debe ser descubrir por qué su cuenta tiene permisos de administrador de dominio y si eso es realmente necesario. Hacer esto solucionará los problemas de seguridad en toda la red, no solo un pequeño problema de síntomas que haya descubierto aquí. Si no hay una razón legítima para que usted tenga derechos de administrador de dominio y SupportGuy no está dispuesto a eliminar dichos derechos si considera realmente eliminar el recurso administrativo.

El C $ es la parte administrativa. Probablemente no debería deshabilitarlo, ya que puede romper las cosas.

El verdadero problema de seguridad aquí es que parece que hicieron que todos los administradores en cada máquina (tal vez a través de usuarios de dominio que se agregan al grupo de administradores locales).

De alguna manera, eso no debería ser un problema, ya que, personalmente, no creo que nada deba almacenarse localmente en primer lugar, y que "Mis documentos" deba ser redirigido a su unidad asignada personal en el servidor, que no tener acceso a menos que haya un lapso de seguridad aún mayor.

Como todos han dicho, driveletter $ es un hecho de la vida de Windows.

Pero, ¿por qué eres un administrador en el escritorio de tus compañeros de trabajo? Y ... confirmaría que es un administrador en tu escritorio. Este es el verdadero problema aquí.

Incluso si eliminara el recurso compartido de administrador ... no hay nada que impida que las personas inicien sesión en su escritorio y accedan a sus archivos porque son administradores de su máquina. El recurso compartido es solo una forma práctica de evitar el inicio de sesión.

Como eres un administrador en tu máquina, echaría un vistazo al grupo de administración, me agregaría explícitamente y luego eliminaría el grupo de usuarios de dominio que probablemente esté allí.

Haga clic derecho en "Computadora" (Menú Inicio)

Seleccione "Administrar"

Expanda "Carpetas compartidas"

haga clic en "Acciones"

en el panel derecho verá todos los recursos compartidos en esa PC, cualquiera con $ son recursos compartidos ocultos, puede hacer clic derecho en C $ y seleccionar "dejar de compartir"

Como sugiere Darth, la parte se recreará al reiniciar.

Puede deshabilitarlo en el registro, pero no creo que su empresa lo aprecie.

También puede deshabilitar el uso compartido de archivos en el Firewall de Windows, pero esto eliminará todos los archivos compartidos.

.

La página de Wikipedia sobre recursos compartidos administrativos debería responder sus preguntas. Básicamente, para acceder a esos recursos compartidos, su cuenta es directa o indirectamente (muy probablemente) parte del grupo administrativo local en todas las computadoras.

Una manera de ver los grupos que se encuentran es mediante la ejecución a través de la línea de comandos: gpresult /R. Personalmente, su departamento de TI suena inepto si todos los usuarios tienen acceso de administrador local a todas las computadoras. Dicho esto, siento que todavía no deberías modificar las cosas, pero esto es lo que haría:

• Abrir la administración de la computadora (haga clic con el botón derecho en Computadora, administrar)
• A la izquierda, seleccione: Herramientas del sistema \ Usuarios y grupos locales \ Grupos
• Haga doble clic en el Administratorsgrupo.

Toda persona que sea miembro o miembro de un grupo en el Administratorsgrupo tendrá acceso a sus recursos compartidos administrativos. Lo primero que haría es agregar su cuenta directamente si aún no está allí como una prueba de fallas si comienza a divertirse demasiado ... Ahora puede continuar rompiendo cosas eliminando usuarios / grupos que no desea tener acceso.