我的 Windows 7 Box 工作时的安全问题

Question

这个问题可能很奇怪而且措辞不当，但无论如何我都不是 Windows 专家，所以请随时纠正我。

我所在的小组最近在工作中使用了新计算机。他们给了我一台新电脑并将我的旧电脑连接到网络上一周，这样我就可以花时间传输必要的文件/配置等。支持人员说，“只需转到‘运行’并输入\\PCNAME\c$。所以我做了而且，瞧瞧，还有我的旧 C: 驱动器。我心想，“多么巨大的安全问题。我会快速转移所有内容，然后‘取消共享’。”

一天结束了，我通过远程桌面登录并右键单击 C 驱动器。但它没有共享。我打电话给支持人员并向他解释说我不希望整个周末网络上的每个人都可以使用我的 C 驱动器。他似乎很困惑。他说，“这并不是真正的‘共享’。如果你在命令提示符下输入，\\ANYPCNAME\c$你就会得到他们的 C 驱动器。就是这样。”

我挂了电话，走到一位同事的办公桌前，看看他的电脑名称（每台电脑上都有一个贴纸），然后回到我的办公桌，hello在他的桌面上放了一个文件。

我不会在我的工作计算机上保留任何个人信息，但确实存在安全问题。并非真正来自我所在的组，而是来自网络（和域）上我不知道的数百名其他员工。我可以开恶作剧，但如果有人对我（或与我名字或计算机名称相似的人）怀有不为人知的怨恨，并在属于项目一部分的文档中对我的老板添加了讨厌的语言怎么办？

这是 Windows 域工作方式的继承部分吗？有什么我可以采取的措施让我的盒子更安全一些吗？请记住，我确实拥有该框的管理员权限，但就网络或域而言，我无法更改任何内容。即使只是对正在发生的事情的解释也会有很大帮助，因为这与我所知道的关于计算机系统的“非常基本”的一切背道而驰。我对 Linux 比较熟悉，所以 Windows World 对我来说有点陌生。

跟进

在工作中表达了我对此的担忧。有人告诉我，“没有人知道驱动器的事情，所以没有什么可担心的。” 遵循 Darth 的解决方案并添加了该注册表项。现在我会等待，看看是否有人收到警报。

Answer 1

您所看到的是Administrative Shares在每台 Windows 计算机上为所有不可移动驱动器启用的其中一个\\computername\driveletter$. 但是，它应该只能由本地管理员组中的人访问（听起来域管理员或域用户组已添加到本地管理员组）。

生活中的可悲事实是，您无法真正完全禁用它们而不会反过来丢失其他东西（例如，您可以禁用文件共享，但是您无法共享文件......）。由于它们是隐藏共享（如$末尾的 所示），因此您无法在浏览时查看它们\\computername，但如果您键入net share命令提示符，它们会显示。

如果支持人员愿意听取一些理由，则禁用它们不应该是您的第一个行动方案——请他限制普通用户在网络上对计算机的权限，这样他们就不会弄乱彼此的文件，或者看看他是否会将用户配置文件和文档移动到服务器文件共享（更好，但更复杂的解决方案）。

如果他不能或不会解决这个问题，您可以通过键入暂时禁用它们net share c$ /delete，但每次重新启动计算机时，Windows 都会重新创建它们。您可以将这些命令粘贴到启动时运行的批处理文件中。

如果您真的希望保护您的计算机，还可以调用隐藏共享admin$，IPC$它可以向网络上的某个人显示有关您计算机的大量信息及其文件，您可以禁用这些信息。

正如其他答案中所指出的，可能有一些程序依赖于这些共享可用，如果支持人员尝试使用其中一个管理共享来帮助维护您的系统但无法访问它，这可能会引起支持人员的注意。

编辑：

似乎您可以使用以下注册表项禁用根分区共享（c$、d$等）（如果不存在则创建它）：

Hive：HKEY_LOCAL_MACHINE
键：SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
名称：AutoShareWks
数据类型：REG_DWORD
值：0

但是，这不会禁用IPC$共享。

Answer 2

您的用户帐户可能在网络上的所有 PC 上都设置为管理员。这可能有多种原因，其中大多数不是最好的。

域中的每台计算机的每个驱动器都与所谓的管理共享共享。此共享始终是驱动器号后跟 $。如您所见：C$。这始终可供其帐户为该计算机管理员的所有用户使用。这样做是有充分理由的。大多数修补程序都使用它，许多安全程序也是如此。此外，像我这样的 SupportGuys 使用它来从计算机获取文件以进行修复、诊断、故障排除和用户帮助，仅举几例。

您通常不想删除管理共享，除非您确定网络上没有需要它的必要程序。例如：SupportGuy 可能需要使用此共享将关键更新部署到您的计算机。

当网络上的所有普通用户帐户都以管理员身份时，就会出现该问题。这就是问题所在，这就是您办公室应该解决的问题。您应该是用户或高级用户，具体取决于必要的权限。为真正需要管理员权限的人提供特殊情况。

更新解决其他答案：我强烈建议不要禁用管理共享，除非您真的知道没有系统需要它。第一步应该是找出为什么您的帐户具有域管理员权限以及是否真的有必要。这样做将解决整个网络中的安全问题，而不仅仅是您在此处发现的一个小问题。如果没有正当理由让您拥有域管理员权限并且 SupportGuy 不愿意删除所述权限，则您应该考虑实际删除管理共享。

Answer 3

C$ 是行政份额。您可能不应该禁用它，因为它可能会破坏某些内容。

这里真正的安全问题是，听起来他们让每台机器上的每个人都成为管理员（可能是通过将域用户添加到本地管理员组）。

在某些方面这不应该是一个问题，因为就我个人而言，我认为首先不应将任何内容存储在本地，并且“我的文档”应该重定向到服务器上的个人映射驱动器，而他们不会除非有更大的安全漏洞。