Preocupación de seguridad con mi Windows 7 Box en el trabajo

41

Esta pregunta puede ser extraña y errónea, pero no soy un experto en Windows de ninguna manera, así que siéntase libre de corregirme.

El grupo en el que estoy recientemente tiene nuevas computadoras en el trabajo. Me dieron una computadora nueva y conectaron mi computadora vieja a la red durante una semana para que pudiera tomar mi tiempo transfiriendo los archivos / configuraciones necesarias, etc. El técnico de soporte dijo: "Simplemente vaya a" ejecutar "y escriba \\PCNAME\c$. Así lo hice y, bajo y he aquí, está mi viejo disco C: pensé: "Qué gran problema de seguridad. Transferiré todo rápidamente y luego 'des-compartir' ".

Al final del día llegó y me conecté a través del escritorio remoto e hice clic derecho en la unidad C. Pero no fue compartido. Llamé a The Support Guy y le expliqué que no quería que mi disco C estuviera disponible para todos en la red todo el fin de semana. Parecía confundido. Él dijo: "No es realmente 'compartido'. Si vas al símbolo del sistema y escribes \\ANYPCNAME\c$, obtienes su unidad C. Así es como es".

Colgué el teléfono y me acerqué al escritorio de un compañero de trabajo y miré el nombre de su PC (hay una pegatina en cada computadora) y luego volví a mi escritorio y puse un helloarchivo en su escritorio.

No guardo nada personal en la computadora de mi trabajo, pero hay preocupaciones de seguridad definidas. No realmente del grupo en el que estoy, sino de los cientos de otros empleados en la red (y dominio) que no conozco. Estoy bien con los chistes prácticos, pero ¿qué pasa si alguien tiene un rencor desconocido hacia mí (o alguien con un nombre similar o un nombre de computadora) y agrega un lenguaje desagradable contra mi jefe a los documentos que forman parte de un proyecto?

¿Es esto una parte heredada de cómo funcionan los dominios de Windows? ¿Hay algún paso que pueda tomar para que mi caja sea un poco más segura? Tenga en cuenta que tengo derechos de administrador para el cuadro, pero no puedo cambiar nada en lo que respecta a la red o al dominio. Incluso una simple explicación de lo que está sucediendo sería de gran ayuda, ya que esto va en contra de todo lo que sé que es "bastante básico" sobre los sistemas informáticos en general. Estoy más familiarizado con Linux, por lo que Windows World es un poco extraño para mí.

Seguir

Expresó mis preocupaciones sobre esto en el trabajo. Me dijeron: "Nadie sabe acerca de la unidad $, así que no hay nada de qué preocuparse". Seguí la solución de Darth y agregué esa clave de registro. Ahora esperaré y veré si alguien recibe una alerta.

Josh Johnson
fuente
66
Eso es totalmente loco. Debe haber una manera fácil de desactivar eso.
James T Snell
66
No es totalmente loco. Es cómo se diseña Windows y por una buena razón. Vea mi respuesta adicional a continuación.
music2myear
13
Y no, su pregunta no es extraña en lo más mínimo e hizo un excelente trabajo al describirla dada su autodescripción no experta. Fuiste observador y reflexivo, algo que desearía que incluso una décima parte de mis usuarios lo fueran.
music2myear
44
+1 porque sus preocupaciones son razonables y justificadas.
Randolf Richardson
2
Oh wow, eso es realmente preocupante. Para agregar más urgencia a su solicitud, tenga en cuenta que esto probablemente también funcione en estaciones de trabajo utilizadas por recursos humanos. Eso es algo que no creo que la compañía quiera que los empleados arbitrarios puedan leer (¡mucho menos modificar!)
Tim Post

Respuestas:

38

Lo que está viendo es uno de los Administrative Sharesque está habilitado en cada máquina de Windows para todas las unidades no extraíbles como \\computername\driveletter$. Sin embargo, solo debería ser accesible para alguien que esté en el grupo de Administradores locales (parece que el grupo de Administradores de dominio o Usuarios de dominio se ha agregado al grupo de Administradores local).

El hecho triste de la vida es que realmente no puede deshabilitarlos por completo sin perder algo más a su vez (puede deshabilitar el intercambio de archivos, por ejemplo, pero luego no puede compartir archivos ...). Dado que son recursos compartidos ocultos (como se indica $al final), no puede verlos al broswing \\computername, pero se mostrarán si escribe net shareun símbolo del sistema.

Deshabilitarlos no debería ser su primer curso de acción si Support Guy está dispuesto a escuchar un poco de razón: pídale que restrinja los permisos que los usuarios regulares tienen en las computadoras a través de la red para que no puedan meterse con los archivos de los demás, o vea si moverá los perfiles de usuario y los documentos a un servidor compartido de archivos (la mejor solución, pero mucho más compleja)

Si no puede o no quiere arreglar esto, puede deshabilitarlos temporalmente escribiendo net share c$ /delete, pero Windows los recreará cada vez que se reinicie la computadora. Es posible que pueda pegar estos comandos en un archivo por lotes que se ejecuta al inicio.

Si realmente desea asegurar su ordenador, también ha ocultado acciones llamada admin$y IPC$que podría revelar tanto una gran cantidad de información acerca de la computadora y sus archivos a alguien en la red que se puede desactivar.

Como se señaló en otras respuestas, puede haber programas que dependen de que estos recursos compartidos estén disponibles, y esto podría llamar la atención de Support Guy si está tratando de usar uno de los recursos compartidos administrativos para ayudar a mantener su sistema y no puede acceder a él.

Editar:

Parece que se puede deshabilitar las acciones partición raíz ( c$, d$, etc.) con la siguiente clave de registro (créelo si no existe):

Colmena: HKEY_LOCAL_MACHINE
Clave: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nombre: AutoShareWks
Tipo de datos: REG_DWORD
Valor:0

IPC$Sin embargo, esto no deshabilitará el recurso compartido.

Darth Android
fuente
1
+1: iba a agregar la información en tu edición, pero me ganaste. ;)
Ƭᴇcʜιᴇ007
14
Eliminar recursos administrativos nunca es una buena opción para comenzar. Existen razones por las que existen y un entorno debidamente protegido no sufre problemas de seguridad debido a ellos. Son los privilegios de la cuenta los que deben abordarse en primer lugar.
music2myear
1
@ music2myear Dijo que no tenía control sobre la política de red o dominio, por lo que supuse que los privilegios de la cuenta no estaban en la tabla de opciones. Además, si soluciona esto localmente (por ejemplo, eliminando Administradores de dominio del grupo de Administradores locales), eso tendría el mismo efecto que deshabilitar los recursos compartidos (dicho efecto es el acceso a los recursos compartidos desde la red con el fin de instalar software o por el estilo.
Darth Android
1
Esto es más un problema de política que un problema de diseño. Por ejemplo, esto no es posible donde estoy. Pero si no tienes mucha experiencia en Active Directory, puedo ver cómo lo configuran para que cualquiera pueda hacer esto. . .
surfasb
1
La mayoría de los usuarios no tienen (o no deberían) tener control sobre la política de red o dominio. Sin embargo, una pregunta o consulta o dos realizadas a la gerencia o al personal de TI adecuado pueden ayudar a comenzar una revisión apropiada y probablemente necesaria de la política de seguridad de TI.
music2myear
16

Su cuenta de usuario probablemente esté configurada como Administrador en todas las PC de la red. Puede haber varias razones para esto, la mayoría de ellas no es la mejor.

Cada computadora en un dominio tiene cada unidad compartida con lo que se llama y Administración compartida. Este recurso compartido es siempre la letra de unidad seguida de $. Como lo viste: C $. Esto siempre está disponible para todos los usuarios cuyas cuentas son administradores en esa computadora. Hay buenas razones para ello. La mayoría de los programas de parches usan esto, al igual que muchos programas de seguridad. Además, SupportGuys como yo lo usa para llevar archivos desde y hacia las computadoras para reparación, diagnóstico, solución de problemas y asistencia al usuario, solo por nombrar algunos.

Por lo general, no desea eliminar un recurso compartido administrativo a menos que esté seguro de que no hay programas necesarios en su red que lo requieran. Por ejemplo: SupportGuy puede necesitar usar este recurso compartido para implementar actualizaciones críticas en su computadora.

El problema ocurre cuando todas las cuentas de usuario normales en la red como administradores. Este es el problema y esto es lo que debe abordarse en su oficina. Deben ser usuarios o usuarios avanzados, según los permisos necesarios. Con casos especiales para personas que realmente necesitan derechos de administrador.

ACTUALIZACIÓN Abordar otras respuestas: recomendaría no deshabilitar el recurso compartido administrativo a menos que realmente sepa que no hay sistemas que lo requieran. El primer curso de acción debe ser descubrir por qué su cuenta tiene permisos de administrador de dominio y si eso es realmente necesario. Hacer esto solucionará los problemas de seguridad en toda la red, no solo un pequeño problema de síntomas que haya descubierto aquí. Si no hay una razón legítima para que usted tenga derechos de administrador de dominio y SupportGuy no está dispuesto a eliminar dichos derechos si considera realmente eliminar el recurso administrativo.

music2myear
fuente
55
Re derechos de administrador: esto solo ocurre cuando el usuario es un administrador de dominio o un administrador local en la PC de destino . No sucede cuando el usuario es un administrador local en su propia PC pero en la de nadie más.
Grawity
3
Es posible que no sea un administrador en la red en su conjunto. A menudo, al configurar una computadora, algunos administradores agregarán el grupo del Usuario del dominio al grupo de administración local para que cualquiera, que tenga sitios inactivos, pueda instalar cosas, etc. Si hace esto en cada computadora, tiene el efecto de ser un administrador en todas partes , pero los servidores.
KCotreau
Es por eso que utilicé el verbage menos técnico "Su cuenta de usuario probablemente esté configurada como Administrador en la red". Podría haber sido redactado de manera más explícita, pero para una persona con esta habilidad y conocimiento, me pareció apropiado.
music2myear
1
Esta situación suena mucho más aterradora de lo que pensaba. Realmente no quiero remover la olla, pero voy a mencionar esto a The Support Guy o al administrador de la red el lunes. Realmente no puedo dejarlo pasar.
Josh Johnson
11

El C $ es la parte administrativa. Probablemente no debería deshabilitarlo, ya que puede romper las cosas.

El verdadero problema de seguridad aquí es que parece que hicieron que todos los administradores en cada máquina (tal vez a través de usuarios de dominio que se agregan al grupo de administradores locales).

De alguna manera, eso no debería ser un problema, ya que, personalmente, no creo que nada deba almacenarse localmente en primer lugar, y que "Mis documentos" deba ser redirigido a su unidad asignada personal en el servidor, que no tener acceso a menos que haya un lapso de seguridad aún mayor.

KCotreau
fuente
+1 para Mis documentos asignados. Estoy considerando hacer eso en mi oficina como una mejora de seguridad. Ya lo estoy ejecutando en mi computadora y funciona de maravilla.
music2myear
Excelentes puntos (+1). Creo que tener un usuario como administrador en su máquina local evita muchos problemas con el software que no funciona o que no se instala (o actualiza) correctamente; por lo general, es mucho más complicado no otorgar derechos de administrador, sino otorgar a todas las máquinas en la red parece innecesario.
Randolf Richardson
2

Como todos han dicho, driveletter $ es un hecho de la vida de Windows.

Pero, ¿por qué eres un administrador en el escritorio de tus compañeros de trabajo? Y ... confirmaría que es un administrador en tu escritorio. Este es el verdadero problema aquí.

Incluso si eliminara el recurso compartido de administrador ... no hay nada que impida que las personas inicien sesión en su escritorio y accedan a sus archivos porque son administradores de su máquina. El recurso compartido es solo una forma práctica de evitar el inicio de sesión.

Como eres un administrador en tu máquina, echaría un vistazo al grupo de administración, me agregaría explícitamente y luego eliminaría el grupo de usuarios de dominio que probablemente esté allí.

itchi
fuente
1
Este es el mayor peligro. Supongo que no era obvio, pero a las personas que recomiendan deshabilitar los recursos compartidos de administrador les falta el panorama general. ¿Quién más tiene derecho de administrador? Teniendo en cuenta que su papel en la empresa no es único, esto me asustaría más. Si usted tiene derechos de administrador en toda la red, ¿quién más?
surfasb
1

Haga clic derecho en "Computadora" (Menú Inicio)

Seleccione "Administrar"

Expanda "Carpetas compartidas"

haga clic en "Acciones"

en el panel derecho verá todos los recursos compartidos en esa PC, cualquiera con $ son recursos compartidos ocultos, puede hacer clic derecho en C $ y seleccionar "dejar de compartir"

Como sugiere Darth, la parte se recreará al reiniciar.

Puede deshabilitarlo en el registro, pero no creo que su empresa lo aprecie.

También puede deshabilitar el uso compartido de archivos en el Firewall de Windows, pero esto eliminará todos los archivos compartidos.

.

Moab
fuente
Y le dará la advertencia "Este recurso compartido se creó solo con fines administrativos. El recurso compartido volverá a aparecer cuando el servicio del Servidor se detenga y se reinicie o la computadora se reinicie. ¿Está seguro de que desea dejar de compartir C $?"
Ƭᴇcʜιᴇ007
0

La página de Wikipedia sobre recursos compartidos administrativos debería responder sus preguntas. Básicamente, para acceder a esos recursos compartidos, su cuenta es directa o indirectamente (muy probablemente) parte del grupo administrativo local en todas las computadoras.

Una manera de ver los grupos que se encuentran es mediante la ejecución a través de la línea de comandos: gpresult /R. Personalmente, su departamento de TI suena inepto si todos los usuarios tienen acceso de administrador local a todas las computadoras. Dicho esto, siento que todavía no deberías modificar las cosas, pero esto es lo que haría:

  • Abrir la administración de la computadora (haga clic con el botón derecho en Computadora, administrar)
  • A la izquierda, seleccione: Herramientas del sistema \ Usuarios y grupos locales \ Grupos
  • Haga doble clic en el Administratorsgrupo.

Toda persona que sea miembro o miembro de un grupo en el Administratorsgrupo tendrá acceso a sus recursos compartidos administrativos. Lo primero que haría es agregar su cuenta directamente si aún no está allí como una prueba de fallas si comienza a divertirse demasiado ... Ahora puede continuar rompiendo cosas eliminando usuarios / grupos que no desea tener acceso.

daalbert
fuente