Moje knowledge base, pro Vás i pro mne. Ale také spousta blbin okolo.

Jakub Skála



jakub.skala@gmail.com
BTC

Vypnutí administrativního sdílení

10.03.2011 09:57

Systémy Windows NT/2000/XP mají ve výchozí konfiguraci nastaveno vytváření tzv. sdílených administrátorských složek. Tyto složky jsou určeny pro vzdálený přístup a správu systému. Což znamená, že pro určité uživatele jsou skrze sít plně k dispozici. 

 

Pokud se snažíte dosáhnout vysokého zabezpečení, bude dobré se tomuto potenciálnímu riziku vyhnout, nebo alespoň omezit oprávnění na konkrétní uživatele nebo služby.

 

Výchozí skryté sdílené složky jsou:

 

C $ D $ E $ - Root každého oddílu u NT/W2K/2003/XP. Členové skupin Administrators, Backup Operators mají plný přístup k těmto složkám.

 

ADMIN $ - %SYSTEMROOT%  Tento share využívá systém během jakékoliv vzdálené správy počítače. Odkazuje vždy na cestu ke kořenovému systému W2K/NT. (adresář, ve kterém je nainstalován systém obvykle C:\Windows).

 

IPC $ - Dočasné spojení mezi servery pomocí pojmenovaných kanálů, zásadní pro komunikaci mezi programy. Je používána při vzdálené správě počítače a při prohlížení sdílených prostředků počítače. Tento share může být velmi nebezpečný a může být použit k informacím o síti, a to i pro anonymní účet.

 

NetLogon - Tento share je používaný službou Přihlašování k síti W2K\2003\NT. 

 

PRINT $ - %SYSTEMROOT% \System32 \Spool \Drivers Používá se při vzdálené správě tiskáren.

 

Aby bylo možné tyto sdílení trvale zakázat bude nutné upravit registr.

HKEY_LOCAL_MACHINE Klíč: SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

Název: AutoShareServer Typ dat: REG_DWORD Hodnota: 0 (hodnota 1 znamená ano)

Pokud nemůžete najít hodnotu v registru (neexistuje) - klikněte pravým tlačítkem myši v pravém podokně okna a vytvořte ji.

Pro provedení změn je třeba restart.

 

Některé aplikace jsou závislé na přítomnosti těchto prosředků. Pokud budete chtít znovu zapnout tyto sdílení, stačí v AutoShareServer REG_DWORD zapsat hodnotu 1.

 

Bohužel toto nastavení  nezastaví IPC$ share, který je často používán hackery k zjištění počtu systémů před útokem. Sdílený prosředek může přinést množství informací o vašem systému. Uživatelská jména a další. Pokud oprávnění nejsou nastavena správně, nemáte vypnut anonymní  přístup, nebo jste nezakázali účet hosta (guest) pak tento prosředek může vést k uniku mnoha informací.