El administrador ve TODAS las unidades asignadas

11

En mi comprensión de la seguridad, un administrador debería poder ver todas las conexiones hacia y desde una computadora, tal como puede ver todos los procesos / propietario, conexiones de red / proceso propietario. Sin embargo, Windows 8 parece haber deshabilitado esto.

Como administrador que ejecuta una versión elevada en Win Vista + cuando ejecuta net use, recupera todas las unidades asignadas, enumeradas como no disponibles. En Windows 8, el mismo comando ejecutado desde un indicador elevado devuelve "No hay entradas en la lista". El comportamiento es idéntico para powershell Get-WmiObject Win32_LogonSessionMappedDisk.

Se debe ejecutar una solución alternativa para las asignaciones persistentes Get-ChildItem Registry::HKU*\Network*. Esto no incluye asignaciones temporales (en mi ejemplo particular, fue creado a través del explorador en una cuenta de administrador y no seleccioné "Volver a conectar al iniciar sesión")

¿Existe una forma directa / simple para que el administrador vea las conexiones de cualquier usuario (salvo un script que se ejecute en cada contexto de usuario)? He leído que algunos programas no pueden acceder a las ubicaciones de red cuando UAC está habilitado, pero no creo que se aplique particularmente.

He visto esta respuesta, pero aún no aborda las unidades no persistentes. ¿Cómo puedo saber qué unidades de red han asignado los usuarios?

command-line-interface windows-8 uac mappeddrive forensics kskid19
fuente
¿ Get-SmbMappingAyuda el cmdlet Powershell ?
Ryan Ries
No, mismo resultado. También lo probé en Win7 anoche (versión incorrecta de powershell) y da los mismos resultados cuando obtienes un mensaje elevado a través de un usuario estándar.
kskid19
Un comando con una salida más detallada es wmic netuse. Es probable que desee escribir esto en un archivo y abrirlo como valores separados por tabuladores.
Jason
Desde el punto de vista de la seguridad, una lista de asignaciones es inútil. Después de todo, se puede acceder a estos recursos compartidos directamente a través de la ruta UNC sin asignarlos nunca.
RomanSt

Respuestas:

4

En Windows 7, si UAC está habilitado y abre el símbolo del sistema con "Ejecutar como administrador", tampoco verá las unidades asignadas. En Windows 8, notará que incluso cuando UAC está deshabilitado, todavía tiene que "Ejecutar como administrador".

La razón por la que el administrador no ve las unidades asignadas se explica en el artículo de Technet que ha vinculado . En pocas palabras, está ejecutando solo con un token de administrador, y las unidades asignadas se entregan al token de usuario estándar. Windows 7 con UAC deshabilitado ejecuta el símbolo del sistema con ambos tokens.

La resolución en ese artículo también funciona con Windows 8. Navegue hasta HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, cree un valor DWORD de EnableLinkedConnections , configúrelo en 1 y reinicie.

Símbolo del sistema del administrador

Jason
fuente
Esto aborda la visualización de las unidades si usted es el administrador del sistema y el usuario al mismo tiempo. ¿Qué pasa con la visualización de conexiones no persistentes de cualquier usuario en un sistema / red? (Por eso pregunté aquí en lugar de superusuario)
kskid19