Windows 7 Boxの職場でのセキュリティ上の懸念

この質問は奇妙で誤解されているかもしれませんが、私はWindowsの専門家ではないので、気軽に修正してください。

私が最近所属しているグループは、新しいコンピューターを仕事に持っています。彼らは私に新しいコンピューターを提供し、古いコンピューターを1週間ネットワークに接続したので、必要なファイル/構成などを転送するのに時間をかけることができました。サポートガイは次のように言いました\\PCNAME\c$。そして、控えめに言って、古いC：ドライブがあります。私は思いました。「なんて大きなセキュリティ問題。すべてをすばやく転送してから、「共有解除」します。」

一日が終わり、リモートデスクトップからログインし、Cドライブを右クリックしました。しかし、それは共有されませんでした。私はサポートガイに電話し、週末中ずっとネットワーク上のすべての人が私のCドライブを利用できるようにしたくないと彼に説明しました。彼は混乱していたようです。「本当に「共有」されているわけではありません。コマンドプロンプトに移動し\\ANYPCNAME\c$てCドライブを取得すると、その通りになります。」

電話を切って同僚の机に行き、彼のPC名（すべてのコンピューターにステッカーがあります）を見て、机に戻ってhello彼のデスクトップにファイルを置きました。

私は仕事用のコンピューターに個人的なものを何も置きませんが、明確なセキュリティ上の懸念があります。実際に私が所属しているグループ内からではなく、私が知らないネットワーク（およびドメイン）上の何百人もの従業員からです。私は実用的なジョークで大丈夫ですが、誰かが私（または類似の名前やコンピューター名を持つ人）に対して未知のgrみを持ち、プロジェクトの一部であるドキュメントに上司に対する不快な言葉を追加したらどうなりますか？

これは、Windowsドメインの動作方法の継承部分ですか？私の箱をもう少し安全にするために私が取ることができるステップはありますか？私はボックスの管理者権限を持っていますが、ネットワークまたはドメインに関する限り、何も変更できないことに注意してください。何が起こっているのかを説明するだけでも、コンピュータシステム全般について「かなり基本的」であることがわかっているすべてのことに反するので、大きな助けになります。私はLinuxに精通しているので、Windows Worldは私にとって少し外国人です。

ファローアップ

職場でこれについての私の懸念を表明した。「drive $のことを誰も知らないので、心配する必要はありません」と言われました。ダースのソリューションに従い、そのレジストリキーを追加しました。ここで、誰かがアラートを受信するかどうかを確認します。

あなたが見ているのはAdministrative Shares、すべての非リムーバブルドライブのすべてのWindowsマシンで有効になっているものの1つです\\computername\driveletter$。ただし、ローカルのAdministratorsグループに属しているユーザーのみがアクセスできるようにする必要があります（Domain AdministratorsまたはDomain UsersグループがローカルのAdministratorsグループに追加されたようです）。

人生の悲しい事実は、他のものを順番に失うことなく完全に無効にすることはできないということです（たとえば、ファイル共有を無効にすることはできますが、ファイルを共有することはできません...）。これらは非表示の共有であるため（$末尾にで示されているように）、参照時に表示することはできませんが、コマンドプロンプトに入力\\computernameすると表示さnet shareれます。

Support Guyが少しの理由に耳を傾ける意思がある場合、それらを無効にすることは最初のアクションではありません。通常のユーザーがネットワーク上のコンピューターで持つ許可を制限して、お互いのファイルを混乱させないようにします。または、ユーザーのプロファイルとドキュメントをサーバーのファイル共有に移動するかどうかを確認します（より優れていますが、より複雑なソリューションです）。

彼がこれを修正できない場合、または修正しない場合は、を入力して一時的に無効にすることができますがnet share c$ /delete、コンピューターが再起動されるたびにWindowsがそれらを再作成します。これらのコマンドを、起動時に実行されるバッチファイルに貼り付けることができる場合があります。

あなたが本当にあなたのコンピュータを確保したい場合は、そこも呼ばれる株を隠されていますadmin$し、IPC$両方のあなたは無効にすることができ、ネットワーク上の誰かにあなたのコンピュータに関する情報の多くとそれのファイルを明らかにする可能性があります。

他の回答で指摘されているように、これらの共有が利用可能であることに依存するプログラムが存在する可能性があり、システムを維持するために管理共有の1つを使用してアクセスできない場合、サポートガイの注意を引く可能性があります。

編集：

次のレジストリキーを使用してルートパーティション共有（c$、d$など）を無効にできるようです（存在しない場合は作成します）。

ハイブ：HKEY_LOCAL_MACHINE
キー：SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
名前：AutoShareWks
データタイプ：REG_DWORD
値：0

IPC$ただし、これにより共有は無効になりません。

ユーザーアカウントは、おそらくネットワーク上のすべてのPCで管理者として設定されています。これにはさまざまな理由がありますが、そのほとんどは最良ではありません。

ドメイン上のすべてのコンピューターには、いわゆるドライブおよび管理共有と共有される各ドライブがあります。この共有は常にドライブ文字の後に$が続きます。ご覧のとおり、C $。これは、アカウントがそのコンピューターの管理者であるすべてのユーザーが常に使用できます。それには、十分な理由があります。多くのセキュリティプログラムと同様に、ほとんどのパッチプログラムはこれを使用します。また、私のようなSupportGuysは、修復、診断、トラブルシューティング、およびユーザー支援のためにコンピューターとの間でファイルをやり取りするために使用します。

通常、ネットワーク上に必要なプログラムがないことを確認しない限り、管理共有を削除することは望ましくありません。たとえば、SupportGuyはこの共有を使用して、重要な更新をコンピューターに展開する必要がある場合があります。

この問題は、ネットワーク上のすべての通常のユーザーアカウントが管理者である場合に発生します。これが問題であり、これはあなたのオフィスで対処すべきものです。必要な権限に応じて、ユーザーまたはパワーユーザーにする必要があります。実際に管理者権限が必要な人のために特別なケースが用意されています。

更新他の回答への対処：管理共有を必要とするシステムがないことが本当にわかっている場合を除き、管理共有を無効にすることを強くお勧めします。最初のアクションは、アカウントにドメイン管理者のアクセス許可がある理由と、それが本当に必要かどうかを調べることです。これにより、ここで発見した小さな症状の問題だけでなく、ネットワーク全体のセキュリティの問題が修正されます。ドメイン管理者の権限を持っている正当な理由がなく、実際に管理共有を削除することを検討した場合、SupportGuyはその権限を削除したくない場合。

C $は管理共有です。おそらくそれを無効にしないでください。

ここでの実際のセキュリティ上の問題は、すべてのマシンの全員を管理者にしたように聞こえるということです（おそらく、ローカルユーザーグループにドメインユーザーを追加することによって）。

個人的には、最初は何もローカルに保存すべきではないと考えているため、「マイドキュメント」はサーバー上の個人用に割り当てられたドライブにリダイレクトされる必要があるため、問題になることはありません。さらに大きなセキュリティの失効がない限り、アクセスできます。

誰もが言ったように、driveletter $はWindowsライフの事実です。

しかし、なぜあなたは同僚のデスクトップの管理者ですか？そして..彼はあなたのデスクトップの管理者ですか？これがここでの本当の問題です。

管理者共有を削除したとしても、ユーザーがマシンの管理者であるため、デスクトップにログオンしてファイルにアクセスすることを妨げるものは何もありません。共有は、ログオンをバイパスする便利な方法です。

あなたはマシンの管理者なので、管理者グループを見て、自分を明示的に追加してから、おそらくそこにあるドメインユーザーグループを削除します。

[コンピューター]（スタートメニュー）を右クリックします。

「管理」を選択します

「共有フォルダ」を展開します

「共有」をクリックします

右側のペインには、そのPC上のすべての共有が表示されます。$のある共有は非表示の共有です。C$を右クリックして[共有の停止]を選択できます

Darthが示唆するように、共有は再起動時に再作成されます。

レジストリで無効にすることはできますが、あなたの会社がこれを高く評価するとは思いません。

Windowsファイアウォールでファイル共有を無効にすることもできますが、これによりすべてのファイル共有が強制終了されます。

。

管理共有のWikipediaページで質問に答えてください。基本的に、これらの共有にアクセスするために、アカウントは、すべてのコンピューター上のローカル管理グループの一部である可能性があります。

現在のグループを表示する1つの方法は、コマンドラインから実行することですgpresult /R。個人的には、すべてのユーザーがすべてのコンピューターへのローカル管理者アクセス権を持っている場合、IT部門は不適切に聞こえます。それで、私はあなたがまだ物事を微調整するべきではないと感じていますが、これは私がすることです：

• コンピューター管理を開きます（コンピューターを右クリックして管理）
• 左側で、次を選択します：System Tools \ Local Users and Groups \ Groups
• Administratorsグループをダブルクリックします。

グループのメンバーまたはグループのメンバーであるすべてのAdministratorsユーザーは、管理共有にアクセスできます。私が最初にやることは、楽しみすぎてフェイルセーフとしてアカウントがまだない場合、アカウントを直接追加することです...不要なユーザー/グループを削除して、物事を壊すことができますアクセス。