Важность стандартных оконных ресурсов
Я должен настроить некоторые общие ресурсы на сервере Windows (2003), но мне действительно не нравятся эти общие папки (C$, ADMIN$, IPC$).
Кажется, я помню, что вы не должны удалять эти общие ресурсы, но когда служба общего доступа отключена, они все равно не работают, так почему я должен оставлять их, когда служба включена? Могу ли я удалить их, не рискуя перезагрузить компьютер?
Я всегда думал о них как об ответственности, поэтому, пожалуйста, поправьте меня, если я ошибаюсь.
7 ответов
Согласно этой статье из базы знаний Microsoft:
- DriveLetter $: это общий корневой раздел или том. Общие корневые разделы и тома отображаются в виде названия буквы диска с добавлением знака доллара ($). Например, когда буквы дисков C и D являются общими, они отображаются как C$ и D $.
- ADMIN $: это ресурс, который используется во время удаленного администрирования компьютера.
- IPC$: это ресурс, который совместно использует именованные каналы, которые вы должны иметь для связи между программами. Этот ресурс не может быть удален.
- NETLOGON: это ресурс, который используется на контроллерах домена.
- SYSVOL: это ресурс, который используется на контроллерах домена.
- PRINT $: это ресурс, который используется при удаленном администрировании принтеров.
- ФАКС $: это общая папка на сервере, которая используется клиентами факса во время передачи факса. Примечание.NETLOGON и SYSVOL не являются скрытыми. Вместо этого это специальные административные акции
Вы можете удалить эти акции в прямом эфире в соответствии с ответом Роя.
Примечание. Windows автоматически создаст общие ресурсы администратора после перезагрузки. Чтобы предотвратить это, используйте regedit, чтобы найти следующий ключ:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer\ параметры
Создайте следующие 2 значения реестра DWORD:
AutoShareServer 0 AutoShareWks 0
Посмотрите на эту статью о Microsoft:
Как создавать и удалять скрытые или административные ресурсы на клиентских компьютерах
Чтобы удалить скрытый общий ресурс, выполните следующие действия.
На панели управления дважды щелкните " Администрирование", а затем дважды щелкните "Управление компьютером".
Разверните Общие папки, а затем нажмите Общие ресурсы.
В столбце " Общая папка" щелкните правой кнопкой мыши общий ресурс, который вы хотите удалить,
нажмите " Остановить совместное использование" и затем нажмите " ОК"Поиск проблемы
Проверьте работоспособность своих программ и служб после отключения общих административных ресурсов. Некоторые службы Windows зависят от наличия этих общих ресурсов.
РЕДАКТИРОВАТЬ: (Спасибо, Борк Блатт)
Необходимо отредактировать реестр, чтобы предотвратить повторное создание общих дисков после перезагрузки компьютера.
вики
Единственное, что я знаю о его разрушении, это программное обеспечение для управления MS, такое как SMS и MOM. Даже приведенные выше инструкции KB дают только "Майкрософт рекомендует против", не очень страшно.
Раньше рекомендовалось их отключать, но слишком много продуктов, которые мы используем для управления средами, такими как SMS/SCCM, используют их. Например, некоторые продукты для управления исправлениями развертываются с использованием общих ресурсов администратора. Поэтому мы оставляем их включенными. Ключ должен гарантировать, что только действительные люди, которые должны иметь административные права на систему, имеют это. Потому что в противном случае кто-то может войти и повторно активировать их (да, я знаю, что вы можете принудительно сбросить настройки с помощью объекта групповой политики, но есть способы предотвратить работу или изменение этих параметров).
Я полагаю, если вы хардкор, они являются обязательством. Я считаю их полезными и использую C$/D$ каждый день. Поскольку вам нужно быть администратором, чтобы подключиться к ним, я не вижу причин для их удаления. Рой уже связал статью MS, чтобы избавиться от них. Я считаю, что это требует перезагрузки. Если вам нужно было запретить людям подключаться ко всем общим ресурсам во время ожидания перезагрузки, вы можете остановить службу "сервер".
По умолчанию к этим общим ресурсам нельзя получить анонимный доступ, поэтому пользователю необходимо пройти аутентификацию, прежде чем они потенциально смогут их использовать неправильно. И если злоумышленник уже в вашей сети, я думаю, что вам нужно беспокоиться о чем-то большем, чем стандартные администраторы.
В любом случае, помимо служб Windows, которые могут зависеть от них, как администратор они могут быть невероятно полезными. например, если вам нужен доступ к диску C машины без необходимости удаленного доступа к нему.
Мой инстинкт заключается в том, чтобы не связываться со встроенной функциональностью, поскольку она может иметь последствия, выходящие далеко за рамки очевидного.
Я пока не могу комментировать, но я хотел расширить пост Борка относительно акций NETLOGON и SYSVOL.
Netlogon будет местоположением по умолчанию, из которого AD извлекает ваши сценарии входа. Sysvol будет хранить групповые политики и ваши каталоги в зависимости от роли сервера.
@ MatthewC Если вы взломали компьютер, добавьте еще одну учетную запись и предоставьте ей доступ администратора. Вы можете получить полный доступ к этим сетевым ресурсам. Я делал это с моим соседом по комнате комп...
Это так легко скомпрометировать одну машину, это не смешно.