那些遇到过的问题

如何阻止访问 \\127.0.0.1\c$ 或 \\localhost\c$

cur*_*win 6 group-policy

出于安全考虑,我们希望防止用户访问其计算机和终端服务器上的 C 驱动器。这些用户不是其工作站或服务器上的本地管理员。

我们已实施以下组策略设置:

  • 从开始菜单中删除运行菜单
  • 在我的电脑中隐藏这些指定的驱动器 - 仅限制 C 驱动器 - 防止从我的电脑访问驱动器 - 仅限制 C 驱动器

这确实会阻止用户从 Windows 资源管理器访问 C 驱动器。

但是,如果他们输入 \127.0.0.1\c$ 或 \localhost\c$,他们可以通过以下任一方式访问 C 驱动器:

Internet Explorer / 边缘

铬合金

Microsoft Word 中的链接

我怎样才能防止这种情况?我再说一遍 - 他们不是任何形式的管理员,但他们可以通过管理共享访问 C 驱动器。(我也不是唯一报告此问题的人)。

我很乐意阻止对任何 UNC 路径的访问(只要我仍然可以为它们映射驱动器),或者阻止或误导 127.0.0.1/localhost。但是我尝试过的一切都不起作用,我真的需要防止这种情况发生。

有任何想法吗?对我来说最重要的是找到一种方法在 Windows 10 企业版上阻止它,但这似乎是各种工作站和服务器操作系统中的一个问题。

谢谢,

大卫

Rob*_*oir 6

这是我最初的回答:

这确实不是默认行为,因此您会发生一些奇怪的事情。要么默认权限已更改(IIRC 对常规武器来说并不容易),要么他们是管理员成员(我知道你说他们不是,但这可能是间接成员)、高级用户或备份操作员。也可能是打印操作员。

我很欣赏这不是你想听到的,因为你强调用户不是管理员,但我已经为人们研究了几十次这种事情,结果总是像“哦,我猜有一天我的同事将 'all_staff' 添加到了 'administrator' 组,因为 CEO 对他大喊大叫,说他无法从家里 RDP 进入服务器”。

这是非常错误的,但它值得作为一个长期坚持的信念没有经常受到考验的例证。我相信这是较早版本的 Windows 的行为变化,但我不确定何时会发生这种变化。

在此处输入图片说明

我已经对 Windows 10 专业版和企业版进行了测试,以防万一它们具有不同的默认设置,并且用户可以浏览本地管理共享,而您用于控制此共享的选项似乎相当有限。您可以按照 mdpc 的建议关闭管理共享(请参阅https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008)源),但它可能会干扰各种管理工具在这些计算机上的工作方式(例如,可能会阻止自动部署代理的部署/更新),因此我真的建议不要使用它。

顺便说一下,以您通过 GPO 描述的方式隐藏驱动器与驱动器或共享权限无关。这只是在 Windows 中触发一个标志来隐藏某些驱动器号。它既不可靠也不强大,例如,我见过很多教育管理人员发疯,试图将其与学生可以做的任何事情相比,但这是徒劳的。

但是...虽然用户可以访问他们的本地管理共享,但他们不能访问其他 PC 上的共享,并且他们通过共享的访问仍然只授予他们“通常”拥有的相同访问权限。因此,用户不能以这种方式“破解”系统;他们无法更改他们还没有更改权限的内容。

但是,您可以并且应该锁定 c:\ 驱动器的根目录。以下是执行此操作的一些说明:

  1. 转到您的 DC,打开 ADUC,为无法将文件保存到根驱动器的用户创建一个安全组(例如“锁定 c 驱动器”)。
  2. 打开 GPMC,创建一个链接到目标机器的 GPO。
  3. 编辑策略并打开[计算机配置| 政策 | Windows 设置 | 安全设置 | 文件系统] 右键单击​​“文件系统”,选择“添加文件...”并选择“C:”驱动器,回车。
  4. 在安全页面,点击“高级”按钮。添加安全组“锁定 c 盘”。
  5. 突出显示该组,单击高级。在“高级安全设置”窗口中,确保仍选择了正确的组,然后单击“编辑”。 在此处输入图片说明
  6. 将类型更改为“拒绝”并应用于“仅此文件夹”。
  7. 单击“显示基本权限”/“显示高级权限”切换,以便您可以查看高级权限。
  8. 仅勾选以下项目的拒绝权限:“创建文件/写入数据”和“创建文件夹/附加数据”。 在此处输入图片说明
  9. 单击确定退出权限编辑器,然后再次单击确定。
  10. 在拒绝权限的警告窗口中,单击是。
  11. 将安全策略设置设置为“然后配置此文件或文件夹”,然后选择“将可继承权限传播到所有子文件夹和文件”(这是您在使用此设置之前仔细检查步骤 6 是否绝对正确的地方)。

给 GPO 时间来复制和应用(gpupdate /force如果您很着急,可以在这里提供帮助),现在您应该发现用户无法在 c 驱动器的根目录中创建文件。此时,他们应该只真正拥有对 \users 中自己的文件夹的权限。

归档时间:

查看次数:

7040 次

最近记录:

8 年,11 月 前
相关归档
如何在没有 Active Directory 的情况下管理计算机? 9
限制用户通过 GPO 保存在他们的桌面、我的文档、我的音乐、我的视频、我的图片等 8
通过 GPO 将打印机部署到计算机与用户 6
确定组策略是否需要同步运行 6
通过组首选项驱动器映射 5
适用于 Internet Explorer 10+ 的 WMI 过滤器 5
通过 GPO 逐步应用新密码策略 4
无法在 windows server 2008 中使用组策略 3
组策略软件在 Windows 7 上安装太安静 2
用于在桌面上显示计算机信息的组策略 1
难疑归档
如何在 /etc/fstab 中执行“mount --bind”? 188
除了 Let's Encrypt 的免费 SSL 之外,还有其他理由使用 SSL 证书吗? 146
FreeBSD 性能调优:Sysctl 参数、loader.conf、内核 131
如何使用apt-get删除“手动安装”标志并恢复为“自动安装”? 121
通配符 CNAME DNS 记录是否有效? 94
服务器的 SSD 或 HDD 73
如何修复“发送邮件:授权失败 534 5.7.14” 67
带有 SSL 的 Apache ProxyPass 66
你如何记录网络? 66
如何在 Linux 中隐藏 shell 应用程序的输出? 55