Windows: отключить удаленный доступ к локальному диску даже администратором домена

Question

Windows: отключить удаленный доступ к локальному диску даже администратором домена

У нас есть сеть компьютеров под управлением Windows 7, которые управляются как часть домена. Мы хотим, чтобы администратор домена не мог просматривать локальный диск ПК (C:), если он физически не находится на ПК. Другими словами, нет удаленного рабочего стола и нет возможности использовать UNC. Другими словами, администратору домена запрещается ставить \\user_pc\c$ в проводнике Windows и просмотрите все файлы на этом компьютере, если только он физически не присутствует на самом ПК.

Изменить: чтобы уточнить некоторые вопросы / комментарии, которые возникли. Да, я администратор --- но полный новичок в Windows. И да, ради этого и моих аналогичных вопросов было бы справедливо предположить, что я работаю на человека, который параноидален.

Я понимаю аргументы о том, что это "социальная проблема, а не техническая проблема", "вы должны быть в состоянии доверять своим администраторам" и т. Д. Но в такой ситуации я нахожусь. Я в основном новичок в системном администрировании Windows, но передо мной стоит задача создания среды, защищенной по определению владельца компании - и это определение явно сильно отличается от того, чего ожидает большинство людей.

Короче я понимаю, что это необычная просьба. Но я надеюсь, что в сообществе ServerFault достаточно опыта, чтобы указать мне верное направление.

3

windows security windows-7 unc privacy

Источник

Matt 19 апр '13 в 15:15

3 ответа

Другие вопросы по тегам windows security windows-7 unc privacy

TheCleaner 19 апр '13 в 15:37 2013-04-19 15:37 · Answer 1 · 2013-04-19 15:37

Этот пост на форумах Technet Яна Ли объясняет это довольно просто:

Только группа "Администраторы" имеет доступ к административным общим ресурсам, перейдите в группу "Администраторы" и удалите нужных пользователей и группы, которые вам не нужны, чтобы иметь доступ к административным общим ресурсам.
Для нескольких клиентских ПК вы можете на одном из компьютеров отключить их, как указано ниже, экспортировать раздел реестра, а затем импортировать его в объект групповой политики.
Отключить стандартные акции:
Windows открывает скрытые папки на каждой установке для использования системной учетной записью. (Совет. Вы можете просмотреть все общие папки на своем компьютере, введя NET SHARE в командной строке.) Вы можете отключить стандартные административные общие ресурсы двумя способами.
Одним из них является остановка или отключение службы сервера, которая устраняет возможность общего доступа к папкам на вашем компьютере. (Однако вы по-прежнему можете получать доступ к общим папкам на других компьютерах.) При отключении службы сервера (через Панель управления> Инструменты администрирования> Службы) обязательно нажмите Вручную или Отключено, иначе служба запустится при следующем запуске компьютера. перезапущен.
Другой способ - через реестр путем редактирования HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. Для серверов отредактируйте AutoShareServer со значением REG_DWORD, равным 0. Для рабочих станций отредактируйте AutoShareWks. Имейте в виду, что отключение этих общих ресурсов обеспечивает дополнительную меру безопасности, но может вызвать проблемы с приложениями. Проверьте свои изменения в лаборатории, прежде чем отключать их в производственной среде. Скрытые общие папки по умолчанию:
Поделиться:
C $ D $ E $
Путь и функция:
Корень каждого раздела, только члены группы "Администраторы" или "Операторы архива" могут подключаться к этим общим папкам. На компьютере под управлением Windows 2000 Server члены группы "Операторы сервера" также могут подключаться к этим общим папкам.

Тем не менее, это не очень хорошая практика. Вы запрещаете доступ к вещам, которые должны быть доступны для администратора домена. Это похоже на замену замков в вашей квартире, чтобы ваш арендодатель не мог войти.

Wally 11 июл '15 в 00:52 2015-07-11 00:52 · Answer 2 · 2015-07-11 00:52

Существует ли в компании письменная политика относительно того, кому и зачем нужна какая-то конкретная информация на сетевом компьютере, и почему эта конкретная информация должна находиться на сетевом компьютере, в первую очередь? Если это данные только для этого офиса, почему бы не выделить дополнительный ноутбук или использовать старый "автономный" компьютер, доступ к которому возможен только в реальном офисе? Ноутбук в сейфе не может быть легко украден или доступен. Пожары, наводнения, торнадо, хакеры в Китае, Индии и т. Д. Тогда подключайте его только тогда, когда это необходимо.

Eric Grange 15 апр '15 в 06:27 2015-04-15 06:27 · Answer 3 · 2015-04-15 06:27

Используйте зашифрованные тома с помощью сторонней утилиты шифрования, такой как TrueCrypt.

Это единственный способ запретить администратору доступ к данным, которых он не должен иметь. Этого достаточно против честного администратора, но недостаточно против злонамеренного администратора, который все еще может установить регистраторы ключей или использовать инструменты удаленного доступа для просмотра содержимого тома, когда том разблокирован.

Что касается тех, кто интересуется, почему вы хотели бы заблокировать администратора от данных, это просто ПЛОХАЯ ПРАКТИКА, по которой администраторы по умолчанию имеют доступ к любому виду конфиденциальных данных, будь то финансовые данные, личные данные сотрудников, данные исследований и т. Д. Они не должны.

Часть работы ИТ-администратора должна заключаться в том, чтобы убедиться, что ни одна взломанная учетная запись администратора не приведет к тому, что злоумышленник получит полный доступ ко всем данным компании.