Soru \\ 127.0.0.1 \ c $ veya \\ localhost \ c $ erişimini nasıl engelleyeceğiniz


Güvenlik nedeniyle, kullanıcılarımızın bilgisayarlarındaki ve terminal sunucularındaki C sürücüsüne erişmelerini engellemek istiyoruz. Bu kullanıcılar değil iş istasyonlarında veya sunucularında yerel yöneticiler.

Aşağıdaki Grup İlkesi ayarlarını uyguladık:

  • Başlat Menüsünden Çalıştırma Menüsünü Kaldır
  • Belirtilen sürücüleri Bilgisayarımda sakla - Yalnızca C sürücüsünü kısıtla - Bilgisayarımdan sürücülere erişimi engelle - Yalnızca C sürücüsünü kısıtla

Bu, kullanıcıların C sürücüsüne Windows Gezgini'nden erişmesini engeller.

Ancak, \ 127.0.0.1 \ c $ veya \ localhost \ c $ girerlerse C sürücüsüne şu yollardan biriyle erişebilirler:

Internet Explorer / Edge

Krom

Microsoft Word'deki bir bağlantı

Bunu nasıl önleyebilirim? Tekrarlıyorum - herhangi bir formda yöneticiler değiller, ancak C sürücüsüne yönetimsel paylaşım yoluyla erişebilirler. (Ben de bu sorunu bildiren tek kişi değilim).

Herhangi bir UNC yoluna erişimi engellemekten (onlar için sürücüleri eşleyebildiğim sürece) veya 127.0.0.1/localhost'u önlemek veya yanlış yönlendirmekle mutlu olurum. Ama hiçbir şey denemedim ve gerçekten bunu engellemem gerek.

Herhangi bir fikir? Windows 10 Enterprise'da bunu engellemenin bir yolu bulmak benim için çok önemli, ancak çeşitli İş İstasyonu ve Sunucu işletim sistemlerinde bir sorun gibi görünüyor.

Teşekkürler,

David


6
2018-03-01 19:18


Menşei


Bir göz atın winaero.com/blog/... .... Kayıt defteri tweaks kullanmadan önce bunu yaptım. - mdpc


Cevaplar:


Bu benim ilk cevabımdı:

Bu gerçekten varsayılan bir davranış değildir, bu nedenle tek gidişiniz var.   üzerinde. Varsayılan izinler değiştirildi (IIRC değil.   konvansiyonel silahlarla kolay) veya yöneticilerin üyeleridir   (Olmadıklarını söylediniz ama bu dolaylı olabilir.   üyelik), güç kullanıcıları veya yedekleme operatörleri. Muhtemelen ayrıca yazdır   Operatörler.

Ne kadar iyi olduğunu duymak istediğin şey değil.   kullanıcıların yönetici olmadığını vurguladı, ancak bu tür   insanlar için zaman zaman onlarca şey ve her zaman olduğu ortaya çıkıyor   "Oh, sanırım meslektaşım 'all_staff'   'Yöneticiler' grubu bir gün çünkü CEO onun üzerine bağırıyordu   evden sunucuya RDP yapamama hakkında ".

Ve çok yanlış, ama yeterince test edilmeyen uzun süredir inancın bir illüstrasyonu olarak kalmayı hak ediyor. Windows'un önceki sürümlerinden davranışlarda bir değişiklik olduğuna inanıyorum, ancak değişiklik ne zaman gerçekleşeceğinden emin değilim.

enter image description here

Farklı varsayılan ayarlara ve Kullanıcılara sahip olmaları durumunda Windows 10 Pro ve Enterprise ile test ettim. kutu Yerel yönetimsel paylaşımlara göz atın ve bunu kontrol etmek için seçenekleriniz oldukça sınırlı görünüyor. Yönetim paylaşımlarını mdpc önerileri olarak kapatabilirsiniz (bkz. https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008) bunun için bir Microsoft kaynağı için), ancak çeşitli yönetici araçlarının bu bilgisayarlarda nasıl çalıştığıyla (örneğin, otomatik dağıtıcı aracıları dağıtmayı / güncelleştirmeyi engelleyebilir) etkileyebilir ve bu nedenle buna karşı öneride bulunacağım.

Sürücüyü GPO aracılığıyla tanımladığınız şekilde gizlemek, bu arada sürücü veya paylaşım izinleriyle ilgisi yoktur. Bu, bazı sürücü harflerini gizlemek için Windows'da bir bayrağı tetikler. Güvenilir ya da sağlam değil ve eğitimde çok sayıda yönetici gördüm, örneğin, öğrencilerin yapabileceği hiçbir şeye karşı bakmaya çalışmak çıldırdı, ama bu işe yaramaz.

Ancak ... Kullanıcılar kendi yerel yönetimsel paylaşımlarına erişebildikleri halde, diğer bilgisayarlardaki paylaşımlara erişemezler ve paylaşım yoluyla erişimleri hala yalnızca 'normalde sahip olacakları erişime izin verir. Bu nedenle, kullanıcılar sistemi bu şekilde kesemezler; değiştirmek için zaten izinleri olmayan şeyleri değiştiremezler.

Ancak, c: \ sürücüsünün kökünü kilitleyebilir ve kilitleyebilirsiniz. İşte bunu yapmak için bazı talimatlar:

  1. DC'nize gidin, ADUC'u açın, bir güvenlik grubu oluşturun ('Lock down c Köklere dosya kaydedemeyen kullanıcılar için 'diyelim' sürücü.
  2. GPMC'yi açın, hedef makinelerinize bağlantı veren bir GPO oluşturun.
  3. İlkeyi düzenleyin ve [Computer Configuration | Politikalar | Windows Ayarları | Güvenlik Ayarları | Dosya Sistemi] Sağ tıklama "Dosya Sistemi", "Dosya Ekle ..." yi seçin ve "C:" sürücüsünü seçin, girmek.
  4. Güvenlik sayfasında, "Gelişmiş" düğmesine tıklayın. Ekle güvenlik grubu 'c sürücüsünü kilitle'.
  5. Vurgulanan grupla Gelişmiş'i tıklayın. Gelişmiş Güvenlik Ayarları penceresinde, doğru grubun hala seçili olduğundan emin olun ve Düzenle'yi tıklayın. enter image description here
  6. Türü 'Reddet' ve 'Yalnızca bu klasöre' olarak uygulanır.
  7. Gelişmiş izinleri görebilmek için 'Temel İzinleri Göster' / 'Gelişmiş İzinleri Göster' düğmesini tıklayın.
  8. SADECE aşağıdaki öğeler için Reddetme iznini işaretleyin: 'Dosyaları oluştur / Veri yaz' ve 'Klasörleri oluştur / Veri ekle'. enter image description here
  9. İzin düzenleyicisinden çıkmak için Tamam'ı ve ardından tekrar Tamam'ı tıklatın.
  10. İzinleri reddetmek için uyarı penceresinde, Evet'i tıklatın.
  11. Güvenlik ilkesi ayarını 'Bu dosyayı veya klasörü yapılandırın' olarak ayarlayın ve 'Tüm alt klasörlere ve dosyalara devralınabilen izinleri yayma'yı seçin' (bu ayar, bu ayarla çalışmaya başlamadan önce 6. adımı tam olarak aldığınızı iki kez kontrol ettiğiniz yerdir).

Çoğaltmak ve uygulamak için GPO zamanını verin (gpupdate /force acele ediyorsanız buraya yardımcı olabilirsiniz) ve şimdi kullanıcıların c sürücüsünün kökünde dosya oluşturamadığını görmelisiniz. Sadece bu noktada \ kullanıcıların içinde kendi klasörlerine gerçekten sahip olmaları gerekir.


6
2018-03-01 19:40



+1 Sorunu tanımlamak ve düzeltmek için, semptomları maskeleme. - jscott
This really is not default behaviour, - Eminsiniz, resmi medyadan, etki alanına katılmamış veya herhangi bir şekilde yapılandırılmamış Win10 1607 sisteminden, yeni, imtiyazsız bir hesaba eklendiğinde ve oturum açarken, emin olun. - Zoredache
@zoredache - evet, oldukça emin (en azından, bu hangi böceklerin var olabileceğini bilen spec). Sadece bir kullanıcı ile yeni inşa edilmiş bağımsız bir PC, adil bir test değil, kullanıcı bir yönetici de iirc olacak. Etki alanıyla birleştirilen bir aygıt, nasıl anlattığımı açıklamalıdır. - Rob Moir
that user will be an admin too belki benim düzenlememi görmedin mi? Bir VM yaptım ve eklendi ve ayrıcalıklı bir hesaba giriş yaptı.  Göz atabiliyorum gibi görünüyor \\localhost\c$ Bu ayrıcalıklı hesap ile. - Zoredache
İlginç. Şu anda hastalandığım için hastalanıyorum, şu anda laboratuarımıza gerçekten erişemiyorum ama eğer yarın bunu hissedersem, evde bir test ortamı hazırlamaya çalışıp ne görebileceğimi göreceğim. - Rob Moir


Burada bahsedilen kayıt defteri düzeltmesinde sorun için bir çözüm buldum:

https://social.technet.microsoft.com/Forums/office/en-US/b168408e-a540-4e3a-92cc-3121486ceb78/admin-shares-available-to-nonadministrative-users-over-loopback-address?forum= winserversecurity

Test ettim ve işe yarıyor. Değişikliği Grup İlkesi aracılığıyla dağıttım ve bilgisayarlar değişikliği kabul ettiler.

Bu gönderi, bunun Windows 2003'ten Windows 2008'e geçişte nasıl gerçekleştiğini de şöyle anlatıyor:

"Bu davranış, yönetimsel paylaşımın varsayılan paylaşım izninin Windows Server 2008'de değiştirilmiş olması nedeniyle etkin oturum açma hesabının yönetimsel paylaşımlara erişmesine izin vermesi nedeniyle oluşur.

Yönetim payının varsayılan paylaşım izni, kayıt defteri değeri HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ DefaultSecurity \ SrvsvcShareAdminConnect tarafından denetlenir.

Windows Server 2008'i Windows Server 2003 ile aynı davranmayacak şekilde yapılandırmak için, Windows Server 2003'ten yukarıdaki kayıt defteri değerini dışarı aktarabilir ve Windows Server 2008'e aktarabiliriz. Lütfen Dikkat: Değişimin etkili olması için sunucuyu yeniden başlatmamız gerekir. "


2
2018-03-02 20:18



En azından hepimiz biliyoruz, şimdi. İlk cevabım için bir kez daha üzgünüm. - Rob Moir
Sadece bağlantıya verilen yanıtlar genellikle takdir edilmez. İlgili parçaları cevabınıza kopyalayabilir ve destek detayları için bağlantıyı kullanabilir misiniz? - Barmar
Tamam, ekleyeceğim. - curwin