Управление административными ресурсами (Admin$, IPC$, C$) в Windows

at0mSec

Административные общие папки Windows используются для удаленного доступа и управления компьютером. По умолчанию Windows создает следующие административные общие папки:

  • Admin$ — Удаленный администратор (относится к %SystemRoot% каталог). Используется для удаленного управления компьютером;
  • IPC$ — Удаленный IPC, используемый для взаимодействия с программами через именованные трубы;
  • C$ — По умолчанию Общий доступ. Общий системный диск. Если на компьютере есть другие диски, которым назначены буквы, они также будут автоматически опубликованы как общие ресурсы администратора (D$, E$, и т.д.);
  • Print$ — публикуется при совместном использовании принтера (открывает доступ к каталогу драйверов принтера C:\Windows\system32\spool\drivers);
  • FAX$ — для общего доступа к факс-серверу.
Содержание:

Что такое скрытые административные ресурсы в Windows?

Вы можете просмотреть список административных папок на вашем компьютере в оснастке Управление компьютером compmgmt.msc (Системные инструменты -> Общие папки -> Общие папки), или запустив программу net share команду.

просмотр списка скрытых административных ресурсов в windows 10 (Admin$, IPC$, C$, D$)просмотр списка скрытых административных ресурсов на windows 10 (Admin$, IPC$, C$, D$)

Имена административных ресурсов заканчиваются символом $ знаком. Адрес LanmanServer служба скрывает общие папки с символом $ в сетевом окружении. Административные общие папки не отображаются при открытии списка доступных общих сетевых папок на удаленном компьютере в File Explorer (\\computername).

общая папка на windows 10 общая папка на windows 10

Эта команда выводит список доступных общих папок администратора на удаленном компьютере:

net view \\computername /all

просмотр общих ресурсов администратора на удаленном компьютере cmd: net view \\\computername /allпросмотр общих ресурсов администратора на удаленном компьютере cmd: net view \\\computername /all

Большинство сторонних файловых менеджеров для Windows имеют опцию, которая позволяет автоматически просматривать административные ресурсы, доступные на удаленном компьютере.

Чтобы открыть содержимое административного ресурса из File Explorer, необходимо указать его полное имя. Нажмите Win+R и выполните команду \\computername\c$

открыть общий ресурс admin на удаленном компьютере windowsоткрыть общий ресурс администратора на удаленном компьютере windows

Эта команда открывает содержимое локального диска C, предоставляя полный доступ к файловой системе системного диска удаленного компьютера.

Доступ к административным ресурсам могут иметь только члены локальной группы администраторов компьютера Администраторы группа (и Резервные операторы группа), при условии, что у вас включен протокол SMB, включен общий доступ к файлам и принтерам, а доступ к порту TCP 445 не заблокирован правилами брандмауэра Windows Defender.

просмотр содержимого общего ресурса администратора c$просмотр содержимого ресурса администратора c$

Как удалить административные ресурсы в Windows

Хотя административные ресурсы Windows удобны для удаленного управления компьютерами, они также представляют собой дополнительные риски безопасности. Вы можете полностью запретить Windows создавать эти скрытые административные ресурсы. Это не нарушит работу компьютера с Windows, используемого в качестве клиента, но ограничит его возможности удаленного администрирования.

Чтобы удалить общую папку администратора, выберите Прекратить общий доступ опцию в оснастке «Управление компьютером» (или воспользуйтесь командой net share Admin$ /delete команду). Это приведет к удалению ресурса admin, но Windows автоматически создаст ресурс Admin$ заново при перезагрузке компьютера.

прекращение совместного доступа к скрытым ресурсам администратора в windows 10прекращение совместного доступа к скрытым ресурсам администратора на windows 10

Чтобы запретить Windows создавать административные ресурсы, необходимо открыть редактор реестра (regedit.exe), перейти к ключу реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить параметр Dword с именем AutoShareWks (для настольных версий Windows) или AutoShareServer (для Windows Server) со значением 0.

AutoShareWks - рег-ключ для отключения / включения административных общих ресурсов windows по умолчаниюAutoShareWks - рег-ключ для отключения / включения административных ресурсов windows по умолчанию

Вы можете создать эту запись реестра вручную с помощью команды reg add:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

или с помощью PowerShell:

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Чтобы развернуть этот параметр реестра на компьютерах в домене, можно использовать GPO.

Теперь после перезагрузки административные ресурсы не будут созданы. В этом случае инструменты удаленного управления компьютером, в том числе psexec, перестанут работать.

Если вы находитесь в доменной сети, вы можете использовать групповую политику для предотвращения публикации локальных жестких дисков компьютеров в качестве общих ресурсов администратора:

  1. Создайте новый GPO с помощью оснастки «Управление групповой политикой». Перейдите в раздел Конфигурация компьютера -> Предпочтения -> Параметры Windows -> Сетевые ресурсы;
  2. Выберите Действие: Удалить и проверьте опцию Удаление всех административных общих дисковых букв.GPO: удаление общих административных букв дисковGPO: удаление общих буквенных ресурсов административных дисков

Восстановление или включение общих административных ресурсов в Windows

Если вы хотите включить общие ресурсы администратора в Windows, вам нужно изменить значение параметра на 1 или удалите его:

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Как включить общий ресурс c$ admin в Windows 10 и Windows Server 2016Как включить общий ресурс c$ admin в Windows 10 и Windows Server 2016

[LanmanServer служба создает административные общие ресурсы в Windows. Удаленные пользователи не смогут получить доступ к общим ресурсам на этом компьютере, если эта служба остановлена.

Get-Service LanmanServer

проверка состояния службы lanmanserverпроверить состояние службы lanmanserver

Windows может автоматически воссоздать скрытые общие ресурсы администратора, просто перезапустите службу LanmanServer службу с помощью команды:

Get-service LanmanServer | restart-service -verbose

перезапустить LanmanServer для воссоздания административных ресурсовперезапустить LanmanServer для воссоздания общих ресурсов администратора

Выполните команду Get-SmbShare PowerShell и проверьте, доступны ли общие ресурсы администратора.

Включение удаленного доступа к общим ресурсам $Admin в Windows

На компьютерах, подключенных к домену AD, удаленный доступ к административным ресурсам разрешен пользователям, входящим в локальную группу Administrators.

Однако по умолчанию Windows блокирует удаленный доступ к административным ресурсам на компьютерах рабочей группы. Если вы попытаетесь открыть список файлов на таком компьютере в Проводнике с помощью команды \\win10_pc\C$, вам будет предложено ввести учетные данные пользователя. После ввода учетных данных локального пользователя, входящего в локальную группу «Администраторы», отобразится ошибка «Доступ запрещен». Удаленный доступ к административным ресурсам возможен только для встроенной учетной записи администратора Windows.

Невозможно получить удаленный доступ к ресурсу ADMIN$ под учетной записью администратораНевозможно получить удаленный доступ к ресурсу ADMIN$ под учетными записями администраторов

В этом случае удаленный доступ к административным ресурсам блокируется параметром Удаленный UAC (Удаленный контроль учетных записей пользователей). Remote UAC блокирует удаленный административный доступ к папкам, фильтруя токены доступа локальной учетной записи и учетной записи Microsoft. Если вы получаете доступ к общим ресурсам администратора с помощью учетной записи домена, это ограничение не применяется.

Вы можете отключить Remote UAC, создав параметр LocalAccountTokenFilterPolicy параметр реестра.

Это несколько снизит безопасность Windows.
  1. Откройте редактор реестра (regedit.exe);
  2. Перейдите к следующему ключу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ;
  3. Создайте новый параметр DWORD (32-битный) с именем LocalAccountTokenFilterPolicy;
  4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1;Удаленный локальный администратор & параметр реестра LocalAccountTokenFilterPolicyУдаленный локальный администратор & LocalAccountTokenFilterPolicy regestry parameter
  5. Перезагрузите компьютер, чтобы применить изменения.
Создать параметр реестра LocalAccountTokenFilterPolicy можно с помощью следующей команды:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

После перезагрузки попробуйте удаленно открыть C$ общий ресурс admin на удаленном компьютере. Войдите в систему под учетной записью, которая является членом локальной группы администраторов.

Удаленный доступ к ресурсу C$ admin с помощью локальной учетной записиудаленный доступ к ресурсу C$ admin с помощью локальной учетной записи

Теперь в окне File Explorer должно отображаться содержимое удаленного диска.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *