Masalah Keamanan dengan Windows 7 Box at Work


41

Pertanyaan ini mungkin aneh dan salah kata, tetapi saya bukan ahli Windows dengan cara apa pun, jadi jangan ragu untuk mengoreksi saya.

Grup saya baru-baru ini mendapat komputer baru di tempat kerja. Mereka memberi saya komputer baru dan menghubungkan komputer lama saya ke jaringan selama seminggu sehingga saya bisa meluangkan waktu untuk mentransfer file / konfigurasi yang diperlukan, dll. Guy Pembantu berkata, "Pergi saja 'jalankan' dan ketik \\PCNAME\c$. Jadi saya lakukan dan, rendah dan lihatlah, ada drive C lama saya. Saya berpikir, "Sungguh masalah keamanan yang besar. Saya hanya akan mentransfer semuanya dengan cepat dan kemudian 'un-bagikan' itu. "

Akhir hari itu datang dan saya masuk melalui desktop jarak jauh dan mengklik kanan pada drive C. Tapi itu tidak dibagikan. Saya menelepon The Support Guy dan menjelaskan kepadanya bahwa saya tidak ingin drive C saya tersedia untuk semua orang di jaringan sepanjang akhir pekan. Dia tampak bingung. Dia berkata, "Ini tidak benar-benar 'dibagikan'. Jika Anda pergi ke command prompt dan ketik \\ANYPCNAME\c$Anda mendapatkan drive C. Mereka hanya bagaimana itu."

Saya menutup telepon dan berjalan ke meja rekan kerja dan melihat nama PC-nya (ada stiker di setiap komputer) dan kemudian berjalan kembali ke meja saya dan meletakkan hellofile di desktop-nya.

Saya tidak menyimpan apa pun pribadi di komputer kerja saya, tetapi ada masalah keamanan yang pasti. Tidak benar-benar dari dalam grup saya berada tetapi dari ratusan karyawan lain di jaringan (dan domain) yang saya tidak tahu. Saya baik-baik saja dengan lelucon praktis tetapi bagaimana jika seseorang memiliki dendam yang tidak diketahui terhadap saya (atau seseorang dengan nama atau nama komputer yang serupa) dan menambahkan bahasa yang tidak menyenangkan kepada bos saya ke dokumen yang merupakan bagian dari proyek?

Apakah ini bagian bawaan dari cara kerja domain Windows? Apakah ada langkah yang bisa saya ambil untuk membuat kotak saya sedikit lebih aman? Ingatlah bahwa saya memiliki hak admin untuk kotak itu, tetapi saya tidak dapat mengubah apa pun sejauh jaringan atau domain berjalan. Bahkan hanya penjelasan tentang apa yang terjadi akan sangat membantu karena hal ini bertentangan dengan semua yang saya tahu 'cukup mendasar' tentang sistem komputer secara umum. Saya lebih akrab dengan Linux sehingga Windows World sedikit asing bagi saya.

Mengikuti

Menyuarakan keprihatinan saya tentang hal ini di tempat kerja. Saya diberitahu, "Tidak ada yang tahu tentang drive $ thing jadi tidak ada yang perlu dikhawatirkan." Mengikuti solusi Darth dan menambahkan kunci registri itu. Sekarang saya akan menunggu dan melihat apakah ada yang diberitahu.


6
Itu benar-benar gila. Pasti ada cara mudah untuk menonaktifkannya.
James T Snell

6
Ini tidak sepenuhnya gila. Begitulah cara windows dirancang dan untuk alasan yang baik. Lihat jawaban saya selanjutnya di bawah ini.
music2myear

13
Dan tidak, pertanyaan Anda tidak aneh sama sekali dan Anda melakukan pekerjaan yang sangat baik untuk menggambarkannya mengingat Anda tidak memiliki keahlian. Anda jeli dan penuh perhatian, yang merupakan sesuatu yang saya harap bahkan ke-10 pengguna saya.
music2myear

4
+1 karena kekhawatiran Anda masuk akal dan dibenarkan.
Randolf Richardson

2
Oh wow, itu benar-benar meresahkan. Untuk menambah urgensi pada permintaan Anda, perhatikan bahwa ini mungkin bekerja pada workstation yang digunakan oleh sumber daya manusia juga. Itu hal yang saya pikir perusahaan tidak ingin karyawan yang sewenang-wenang bisa membaca (apalagi memodifikasi!)
Tim Post

Jawaban:


38

Apa yang Anda lihat adalah salah satunya Administrative Sharesyang diaktifkan pada setiap mesin Windows untuk semua drive yang tidak dapat dilepas \\computername\driveletter$. Namun, itu hanya dapat diakses oleh seseorang yang ada di grup Administrator lokal (sepertinya Domain Administrator atau grup Pengguna Domain telah ditambahkan ke grup Administrator lokal).

Fakta menyedihkan dari kehidupan adalah Anda tidak dapat benar-benar menonaktifkannya sepenuhnya tanpa kehilangan sesuatu yang lain (misalnya, Anda dapat menonaktifkan berbagi file, tetapi kemudian Anda tidak dapat berbagi file ...). Karena mereka adalah saham tersembunyi (seperti yang ditunjukkan oleh $di bagian akhir), Anda tidak dapat melihatnya saat broswing \\computername, tetapi mereka akan ditampilkan jika Anda mengetikkan net shareprompt perintah.

Menonaktifkan mereka seharusnya tidak menjadi tindakan pertama Anda jika Guy Dukungan bersedia mendengarkan sedikit alasan - Minta dia untuk membatasi izin yang dimiliki pengguna biasa di komputer melalui jaringan sehingga mereka tidak dapat mengacaukan file masing-masing, atau lihat apakah ia akan memindahkan profil pengguna dan dokumen ke fileshare server (solusi yang lebih baik, tetapi lebih banyak terlibat).

Jika dia tidak bisa atau tidak mau memperbaikinya, Anda dapat menonaktifkannya sementara dengan mengetik net share c$ /delete, tetapi Windows akan membuatnya kembali setiap kali komputer di-boot ulang. Anda mungkin dapat menempelkan perintah ini ke file batch yang dijalankan saat startup.

Jika Anda benar-benar ingin mengamankan komputer Anda, ada juga bagian tersembunyi yang dipanggil admin$dan IPC$yang keduanya dapat mengungkapkan banyak informasi tentang komputer Anda dan file itu kepada seseorang di jaringan yang dapat Anda nonaktifkan.

Seperti yang ditunjukkan dalam jawaban lain, mungkin ada program yang bergantung pada pembagian ini yang tersedia, dan ini mungkin mendapat perhatian Dukungan Guy jika dia mencoba menggunakan salah satu saham administratif untuk membantu menjaga sistem Anda dan tidak dapat mengaksesnya.

Edit:

Tampaknya Anda dapat menonaktifkan saham partisi root ( c$, d$, dll) dengan kunci registri berikut (buat itu jika tidak ada):

Hive: HKEY_LOCAL_MACHINE
Kunci: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nama: AutoShareWks
Tipe Data: REG_DWORD
Nilai:0

Namun, ini tidak akan menonaktifkan IPC$pembagian.


1
+1 - Saya akan menambahkan info dalam hasil edit Anda, tetapi Anda mengalahkan saya karenanya. ;)
Ƭᴇcʜιᴇ007

14
Menghapus pembagian administratif tidak pernah merupakan opsi awal yang baik. Ada alasan mereka ada dan lingkungan yang aman tidak menderita masalah keamanan karena mereka. Ini adalah hak istimewa akun yang harus ditangani terlebih dahulu dan terutama.
music2myear

1
@ music2myear Dia bilang dia tidak memiliki kendali atas kebijakan jaringan atau domain, jadi saya berasumsi bahwa hak istimewa akun tidak ada dalam daftar opsi. Selain itu, jika ia memperbaiki ini secara lokal (katakanlah, dengan menghapus Administrator Domain dari grup Administrator lokal), maka itu akan memiliki efek yang sama dengan menonaktifkan share (mengatakan efek menjadi akses ke share dari jaringan untuk tujuan menginstal perangkat lunak atau sejenisnya
Darth Android

1
Ini lebih merupakan masalah kebijakan daripada masalah desain. Misalnya, ini tidak mungkin di tempat saya. Tetapi jika Anda tidak memiliki banyak pengalaman di Active Directory, saya dapat melihat bagaimana mereka mengaturnya ke tempat orang dapat melakukan ini. . .
surfasb

1
Sebagian besar pengguna tidak (atau tidak seharusnya) memiliki kendali atas kebijakan jaringan atau domain. Namun, satu atau dua pertanyaan atau pertanyaan yang ditempatkan dengan manajemen atau personel TI yang tepat dapat membantu memulai peninjauan kebijakan keamanan TI yang sesuai dan mungkin perlu.
music2myear

16

Akun pengguna Anda mungkin ditetapkan sebagai Administrator pada semua PC di jaringan. Mungkin ada berbagai alasan untuk ini, kebanyakan dari mereka bukan yang terbaik.

Setiap komputer pada suatu domain memiliki setiap drive yang dibagikan dengan apa yang disebut dan Berbagi Administratif. Bagian ini selalu merupakan huruf drive yang diikuti oleh $. Seperti yang Anda lihat: C $. Ini selalu tersedia untuk semua pengguna yang akunnya adalah administrator di komputer itu. Ada alasan bagus untuk itu. Sebagian besar program penambalan menggunakan ini, seperti halnya banyak program keamanan. Juga, SupportGuys seperti saya menggunakannya untuk mendapatkan file ke dan dari komputer untuk perbaikan, diagnosis, pemecahan masalah, dan bantuan pengguna, hanya untuk beberapa nama.

Anda biasanya tidak ingin menghapus bagian administrasi kecuali jika Anda yakin tidak ada program yang diperlukan di jaringan Anda yang memerlukannya. Misalnya: SupportGuy mungkin perlu menggunakan saham ini untuk menggunakan pembaruan penting ke komputer Anda.

Masalahnya terjadi ketika semua akun pengguna biasa di jaringan sebagai administrator. Inilah masalahnya dan inilah yang harus diatasi di kantor Anda. Anda harus menjadi pengguna atau pengguna yang kuat, tergantung pada izin yang diperlukan. Dengan kasus khusus yang diberikan untuk orang yang benar-benar membutuhkan hak administrator.

PEMBARUAN Mengatasi jawaban lain: Saya akan sangat menyarankan agar tidak menonaktifkan pembagian administratif kecuali Anda benar-benar tahu tidak ada sistem yang membutuhkannya. Tindakan pertama harus mencari tahu mengapa akun Anda memiliki izin administrator domain dan jika itu benar-benar diperlukan. Melakukan hal ini akan memperbaiki masalah keamanan di seluruh jaringan, bukan hanya satu masalah gejala kecil yang Anda temukan di sini. Jika tidak ada alasan yang sah bagi Anda untuk memiliki hak administrator domain dan SupportGuy tidak mau menghapus hak tersebut jika Anda benar-benar mempertimbangkan untuk menghapus pembagian administratif.


5
Hak administrator ulang: Ini hanya terjadi ketika pengguna adalah Admin Domain, atau Administrator lokal pada PC target . Itu tidak terjadi ketika pengguna Admin lokal di PC sendiri tetapi tidak ada orang lain.
grawity

3
Dia mungkin bukan admin di jaringan secara keseluruhan. Seringkali saat memasang komputer, beberapa admin akan menambahkan grup Pengguna Domain ke grup admin lokal sehingga siapa pun, yang situsnya down, dapat menginstal berbagai hal, dll. Jika Anda melakukan ini di setiap komputer, Anda memiliki efek menjadi admin di mana-mana , tetapi server.
KCotreau

Itulah sebabnya saya menggunakan kata kerja yang kurang teknis "Akun pengguna Anda mungkin ditetapkan sebagai Administrator di jaringan". Itu bisa saja lebih jelas, tetapi bagi seseorang yang memiliki kemampuan dan pengetahuan ini, saya merasa ini sesuai.
music2myear

1
Ini adalah situasi yang terdengar jauh lebih menakutkan daripada yang saya kira. Saya tidak benar-benar ingin mengaduk panci tetapi saya akan membawa ini ke The Support Guy atau admin jaringan pada hari Senin. Aku tidak bisa membiarkannya.
Josh Johnson

11

C $ adalah pembagian administratif. Anda mungkin sebaiknya tidak menonaktifkannya, karena dapat merusak banyak hal.

Masalah keamanan sebenarnya di sini adalah sepertinya mereka membuat semua orang administrator di setiap mesin (mungkin melalui pengguna domain ditambahkan ke grup administrator lokal).

Dalam beberapa hal yang seharusnya tidak menjadi masalah karena, secara pribadi, saya tidak percaya ada yang harus disimpan secara lokal di tempat pertama, dan bahwa "My Documents" harus diarahkan ke drive pribadi Anda yang dipetakan di server, yang mereka tidak akan lakukan. memiliki akses ke kecuali ada kesalahan keamanan yang lebih besar.


+1 untuk memetakan Dokumen Saya. Saya sedang mempertimbangkan melakukan itu di kantor saya sebagai peningkatan keamanan. Sudah menjalankannya di komputer saya dan itu berfungsi seperti pesona.
music2myear

Poin luar biasa (+1). Saya menemukan bahwa memiliki pengguna menjadi Administrator di mesin lokal mereka tidak menghindari banyak masalah dengan perangkat lunak tidak berfungsi atau menginstal (atau memperbarui) dengan benar - biasanya jauh lebih mudah untuk tidak memberikan hak Administrator, tetapi untuk memberikan kepada semua mesin pada jaringan sepertinya tidak perlu.
Randolf Richardson

2

Seperti yang dikatakan semua orang driveletter $ adalah fakta kehidupan windows.

Tetapi mengapa Anda seorang administrator di desktop rekan kerja Anda? Dan .. Saya akan mengkonfirmasi apakah dia seorang administrator di desktop Anda? INI adalah masalah sebenarnya di sini.

Bahkan jika Anda menghapus admin share .. tidak ada yang mencegah orang dari login ke desktop Anda dan mengakses file Anda karena mereka adalah administrator di mesin Anda. Berbagi, hanyalah cara praktis untuk mem-bypass masuk.

Karena Anda adalah admin di mesin Anda, saya akan melihat grup admin, tambahkan diri Anda secara eksplisit dan kemudian hapus grup pengguna domain yang mungkin ada.


1
Ini adalah bahaya yang lebih besar. Saya kira itu tidak jelas, tetapi orang-orang yang merekomendasikan untuk menonaktifkan admin berbagi kehilangan gambaran besarnya. Siapa lagi yang punya admin? Mengingat peran Anda di perusahaan itu tidak unik, ini akan membuat saya lebih takut. Jika Anda memiliki hak admin jaringan yang luas, siapa lagi ??????
surfasb

1

Klik kanan pada "Computer" (Start Menu)

Pilih "Kelola"

Luaskan "Folder Bersama"

klik "Bagikan"

di panel kanan Anda akan melihat semua saham di PC itu, apa pun dengan $ adalah saham tersembunyi, Anda bisa klik kanan pada C $ dan pilih "berhenti berbagi"

Seperti yang disarankan oleh Darth, pembagian akan dibuat kembali saat reboot.

Anda dapat menonaktifkannya di registri tetapi saya tidak berpikir perusahaan Anda akan menghargai ini.

Anda juga dapat menonaktifkan berbagi file di Windows Firewall, tetapi ini akan mematikan semua berbagi file.

.


Dan itu akan memberi Anda peringatan "Bagian ini dibuat hanya untuk keperluan administratif. Bagian ini akan muncul kembali ketika layanan Server dihentikan dan dimulai ulang atau komputer dihidupkan ulang. Apakah Anda yakin ingin berhenti berbagi C $?"
Ƭᴇcʜιᴇ007

0

The Wikipedia halaman di saham administrasi harus menjawab pertanyaan Anda. Pada dasarnya untuk mengakses saham-saham itu, akun Anda secara langsung atau tidak langsung (kemungkinan besar) adalah bagian dari grup administrasi lokal di semua komputer.

Salah satu cara untuk melihat kelompok Anda berada di adalah dengan menjalankan melalui baris perintah: gpresult /R. Secara pribadi departemen TI Anda terdengar tidak layak jika semua pengguna memiliki akses admin lokal ke semua komputer. Dengan itu saya merasa seperti Anda masih tidak boleh men-tweak hal-hal tetapi ini yang akan saya lakukan:

  • Buka manajemen komputer (klik kanan Komputer, kelola)
  • Di sebelah kiri pilih: Alat Sistem \ Pengguna Lokal dan Grup \ Grup
  • Klik dua kali Administratorsgrup tersebut.

Setiap orang yang merupakan anggota atau anggota grup dalam Administratorsgrup akan memiliki akses ke bagian administratif Anda. Hal pertama yang akan saya lakukan adalah menambahkan akun Anda secara langsung jika belum ada sebagai gagal-aman jika Anda mulai bersenang-senang terlalu banyak ... Sekarang Anda dapat memecahkan masalah dengan menghapus pengguna / grup yang tidak ingin Anda miliki mengakses.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.