काम पर मेरे विंडोज 7 बॉक्स के साथ सुरक्षा चिंता


41

यह सवाल अजीब और गलत हो सकता है लेकिन मैं किसी भी तरह से विंडोज विशेषज्ञ नहीं हूं इसलिए मुझे सही करने के लिए स्वतंत्र महसूस करें।

जिस समूह में मैं हाल ही में काम पर नए कंप्यूटर मिला हूं। उन्होंने मुझे एक नया कंप्यूटर दिया और अपने पुराने कंप्यूटर को एक सप्ताह के लिए नेटवर्क पर हुक कर दिया ताकि मैं अपना समय आवश्यक फाइलों / कॉन्फिगरेशन आदि को स्थानांतरित करने में लगा सकूं। सपोर्ट गाय ने कहा, "बस 'रन' पर जाएं और टाइप करें \\PCNAME\c$। तो मैंने किया। और, कम और निहारना, मेरी पुरानी सी: ड्राइव है। मैंने अपने आप को सोचा, "एक बड़ा सुरक्षा मुद्दा क्या है।" मैं बस सब कुछ जल्दी से स्थानांतरित करूँगा और फिर इसे 'साझा' करूँगा। "

दिन का अंत आ गया और मैंने रिमोट डेस्कटॉप के माध्यम से लॉग इन किया और सी ड्राइव पर राइट क्लिक किया। लेकिन इसे साझा नहीं किया गया था। मैंने द सपोर्ट गाय को फोन किया और उसे समझाया कि मैं नहीं चाहता कि मेरा सी ड्राइव सभी सप्ताहांत में सभी को नेटवर्क पर उपलब्ध हो। वह उलझन में लग रहा था। उन्होंने कहा, "यह वास्तव में 'साझा' नहीं है। यदि आप कमांड प्रॉम्प्ट पर जाते हैं और \\ANYPCNAME\c$आप में टाइप करते हैं तो उन्हें अपना सी ड्राइव मिलता है। यह कैसा है।"

मैंने फोन को लटका दिया और एक सहकर्मी की डेस्क पर चला गया और अपने पीसी के नाम (हर कंप्यूटर पर एक स्टिकर) को देखा और फिर वापस अपनी डेस्क पर चला गया और helloअपने डेस्कटॉप पर एक फ़ाइल डाल दी।

मैं अपने काम के कंप्यूटर पर कुछ भी व्यक्तिगत नहीं रखता, लेकिन निश्चित सुरक्षा चिंताएं हैं। वास्तव में उस समूह के भीतर से नहीं हूं जिसमें मैं नेटवर्क (और डोमेन) पर सैकड़ों अन्य कर्मचारियों से हूं जो मुझे नहीं पता है। मैं व्यावहारिक चुटकुलों के साथ ठीक हूं, लेकिन क्या होगा अगर किसी ने मेरे खिलाफ एक अज्ञात गड़बड़ी (या किसी समान नाम या कंप्यूटर के नाम के साथ) की है और मेरे बॉस के खिलाफ गंदा भाषा को दस्तावेजों में जोड़ता है जो एक परियोजना का हिस्सा हैं?

क्या यह एक अंतर्निहित हिस्सा है कि विंडोज डोमेन कैसे काम करता है? क्या मेरे बॉक्स को थोड़ा और सुरक्षित करने के लिए कोई कदम उठाया जा सकता है? इस बात को ध्यान में रखें कि मेरे पास बॉक्स के लिए व्यवस्थापक अधिकार हैं लेकिन मैं नेटवर्क या डोमेन के जाने तक कुछ भी नहीं बदल सकता। यहां तक ​​कि अभी जो हो रहा है उसका एक स्पष्टीकरण भी एक बड़ी मदद होगी क्योंकि यह उन सभी चीजों के खिलाफ जाता है जिन्हें मैं सामान्य रूप से कंप्यूटर सिस्टम के बारे में 'बहुत बुनियादी' होना जानता हूं। मैं लिनक्स से अधिक परिचित हूं इसलिए विंडोज वर्ल्ड मेरे लिए थोड़ा विदेशी है।

जाँच करना

काम पर इस बारे में मेरी चिंताओं को आवाज दी। मुझे बताया गया, "ड्राइव $ चीज के बारे में कोई नहीं जानता है इसलिए चिंता की कोई बात नहीं है।" डार्थ के समाधान का अनुसरण किया और उस रजिस्ट्री कुंजी को जोड़ा। अब मैं इंतजार करूंगा और देखूंगा कि क्या कोई सतर्क हुआ या नहीं।


6
वह पूरी तरह से पागल है। उसे अक्षम करने का एक आसान तरीका होना चाहिए।
जेम्स टी स्नेल

6
यह पूरी तरह से पागल नहीं है। यह है कि विंडोज़ कैसे डिज़ाइन की जाती है और अच्छे कारण के लिए। मेरा आगे का जवाब नीचे देखें।
म्यूजिक

13
और नहीं, आपका प्रश्न कम से कम में अजीब नहीं है और आपने यह वर्णन करने का एक उत्कृष्ट काम किया है कि यह आपकी स्व-वर्णित गैर-विशेषज्ञता है। आप चौकस और विचारशील थे, जो कि मैं चाहता हूं कि मेरे 10 वें उपयोगकर्ता भी थे।
Music2myear

4
+1 क्योंकि आपकी चिंताएँ उचित और उचित हैं।
रैंडोल्फ रिचर्डसन

2
अरे वाह, यह वास्तव में परेशान कर रहा है। अपने अनुरोध में अधिक आग्रह जोड़ने के लिए, ध्यान दें कि यह संभवतः मानव संसाधनों द्वारा उपयोग किए जाने वाले कार्यस्थानों पर भी काम करता है। के सामान है कि मुझे नहीं लगता कि कंपनी मनमाने ढंग से कर्मचारियों को देख पाना चाहता है (बहुत कम संशोधित!)
टिम पोस्ट

जवाबों:


38

आप Administrative Sharesजो देख रहे हैं, वह सभी गैर-हटाने योग्य ड्राइवों के लिए प्रत्येक विंडोज मशीन पर सक्षम है \\computername\driveletter$। हालाँकि, यह केवल उन्हीं लोगों के लिए सुलभ होना चाहिए जो स्थानीय प्रशासक समूह में हैं (ऐसा लगता है कि डोमेन प्रशासक या डोमेन उपयोगकर्ता समूह को स्थानीय प्रशासक समूह में जोड़ दिया गया है)।

जीवन का दुखद तथ्य यह है कि आप वास्तव में बदले में कुछ और खोए बिना उन्हें पूरी तरह से अक्षम नहीं कर सकते हैं (उदाहरण के लिए, आप फाइलशेयर को अक्षम कर सकते हैं, लेकिन फिर आप फ़ाइलों को साझा नहीं कर सकते ...)। चूंकि वे छिपे हुए शेयर हैं (जैसा $कि अंत में दर्शाया गया है ), आप उन्हें broswing करते समय नहीं देख सकते हैं \\computername, लेकिन यदि आप net shareकमांड प्रॉम्प्ट में लिखते हैं तो वे दिखाएंगे ।

यदि उनका समर्थन करने के लिए किसी अन्य व्यक्ति की फ़ाइलों के साथ खिलवाड़ नहीं कर सकते, तो नियमित रूप से उपयोगकर्ताओं के पास उन अनुमतियों को सीमित करने के लिए कहें, जो उन्हें अनुमतियों को सीमित करने के लिए कहें। या देखें कि क्या वह उपयोगकर्ता प्रोफाइल और दस्तावेजों को सर्वर फाइलशेयर में स्थानांतरित करेगा (बेहतर, लेकिन बहुत अधिक शामिल समाधान)।

यदि वह इसे ठीक नहीं कर सकता है या नहीं, तो आप उन्हें अस्थायी रूप से लिखकर अक्षम कर सकते हैं net share c$ /delete, लेकिन हर बार जब कंप्यूटर रिबूट होता है, तो विंडोज उन्हें दोबारा बनाएगा। आप इन आदेशों को स्टार्टअप पर चलने वाली बैच फ़ाइल में चिपका सकते हैं।

क्या तुम सच में आपके कंप्यूटर को सुरक्षित करना चाहते हैं, वहाँ भी शेयरों बुलाया छिपा हुआ है admin$और IPC$जो दोनों नेटवर्क पर किसी व्यक्ति है जो आप निष्क्रिय कर सकते हैं और अपने कंप्यूटर के बारे में जानकारी के बहुत सारे यह की फाइलें बता सकता है।

जैसा कि अन्य उत्तरों में बताया गया है, ऐसे प्रोग्राम हो सकते हैं जो इन शेयरों के उपलब्ध होने पर निर्भर करते हैं, और यदि आपके सिस्टम को बनाए रखने में मदद करने के लिए यह प्रशासनिक शेयरों में से एक का उपयोग करने की कोशिश कर रहा है और इसे एक्सेस नहीं कर सकता है, तो उसे सपोर्ट गाई का ध्यान मिल सकता है।

संपादित करें:

ऐसा लगता है कि आप निम्नलिखित रजिस्ट्री कुंजी के साथ रूट विभाजन के शेयरों ( c$और d$, आदि) को निष्क्रिय कर सकते हैं (यदि यह मौजूद नहीं है तो इसे बनाएं):

छत्ता: HKEY_LOCAL_MACHINE
कुंजी: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
नाम: AutoShareWks
डेटा प्रकार: REG_DWORD
मूल्य:0

IPC$हालांकि, यह शेयर को निष्क्रिय नहीं करेगा ।


1
+1 - मैं आपके संपादन में जानकारी जोड़ने जा रहा था, लेकिन आपने मुझे इसमें हरा दिया। ;)
ᴇcʜιᴇ007

14
प्रशासनिक शेयरों को हटाना कभी भी एक अच्छा शुरुआती विकल्प नहीं है। वे कारण हैं जो मौजूद हैं और एक उचित रूप से सुरक्षित वातावरण उनकी वजह से कोई सुरक्षा समस्या नहीं है। यह खाता विशेषाधिकार है जिसे पहले और सबसे पहले संबोधित किया जाना चाहिए।
म्यूजिक

1
@ music2myear उन्होंने कहा कि उनका नेटवर्क या डोमेन नीति पर नियंत्रण नहीं था, इसलिए मैंने यह माना कि खाता विशेषाधिकार विकल्पों की तालिका में नहीं थे। इसके अलावा, अगर वह इसे स्थानीय रूप से ठीक करता है (जैसे, स्थानीय प्रशासक समूह से डोमेन प्रशासक को हटाकर), तो इसका वही प्रभाव होगा जो शेयरों को निष्क्रिय करने के लिए होता है (कहा जाता है कि सॉफ़्टवेयर इंस्टॉल करने के उद्देश्य से नेटवर्क से शेयरों तक पहुंच होना या the।
डार्थ Android

1
यह एक डिज़ाइन समस्या की तुलना में नीतिगत समस्या का अधिक है। उदाहरण के लिए, यह संभव नहीं है कि मैं कहाँ हूँ। लेकिन अगर आपको सक्रिय निर्देशिका में बहुत अनुभव नहीं है, तो मैं देख सकता हूं कि वे इसे कैसे सेट करते हैं जहां कोई भी ऐसा कर सकता है। । ।
सर्फस

1
अधिकांश उपयोगकर्ता नेटवर्क (या नेटवर्क नीति) पर नियंत्रण नहीं रखते (या नहीं होना चाहिए)। हालाँकि, उपयुक्त प्रबंधन या आईटी कर्मियों के साथ रखा गया एक प्रश्न या प्रश्न या दो आईटी सुरक्षा नीति की उचित और संभवतः आवश्यक समीक्षा शुरू करने में मदद कर सकता है।
म्यूजिक

16

आपका उपयोगकर्ता खाता संभवतः नेटवर्क के सभी पीसी पर प्रशासक के रूप में सेट है। इसके विभिन्न कारण हो सकते हैं, उनमें से अधिकांश सबसे अच्छे नहीं हैं।

एक डोमेन के प्रत्येक कंप्यूटर में प्रत्येक ड्राइव को साझा किया जाता है जिसे प्रशासनिक शेयर कहा जाता है। यह शेयर हमेशा ड्राइव लेटर है जिसके बाद $ होता है। जैसा कि आपने इसे देखा: C $। यह हमेशा उन सभी उपयोगकर्ताओं के लिए उपलब्ध होता है जिनके खाते उस कंप्यूटर पर व्यवस्थापक हैं। इसके लिए अच्छे कारण हैं। अधिकांश पैचिंग प्रोग्राम इसका उपयोग करते हैं, जैसा कि कई सुरक्षा कार्यक्रम करते हैं। इसके अलावा, मेरी तरह SupportGuys कंप्यूटर से मरम्मत, निदान, समस्या निवारण और उपयोगकर्ता सहायता के लिए फ़ाइलों को प्राप्त करने के लिए इसका उपयोग करते हैं, बस कुछ ही नाम के लिए।

जब तक आप सुनिश्चित नहीं होते हैं कि आपके नेटवर्क पर कोई आवश्यक प्रोग्राम नहीं हैं, तब तक आप सामान्य रूप से एक व्यवस्थापकीय हिस्से को हटाना नहीं चाहते हैं। उदाहरण के लिए: SupportGuy को आपके कंप्यूटर पर महत्वपूर्ण अपडेट को तैनात करने के लिए इस शेयर का उपयोग करने की आवश्यकता हो सकती है।

समस्या तब होती है जब सभी नियमित उपयोगकर्ता व्यवस्थापक के रूप में नेटवर्क पर खाते हैं। यह समस्या है और यही आपके कार्यालय में संबोधित किया जाना चाहिए। आपको आवश्यक अनुमतियों के आधार पर उपयोगकर्ता या पावर उपयोगकर्ता होने चाहिए। उन लोगों के लिए विशेष मामलों के साथ जिन्हें वास्तव में प्रशासक के अधिकारों की आवश्यकता है।

अद्यतन अन्य उत्तरों को संबोधित करना: मैं प्रशासनिक हिस्से को अक्षम करने के खिलाफ अत्यधिक अनुशंसा करूंगा जब तक कि आप वास्तव में यह नहीं जानते कि इसमें कोई सिस्टम की आवश्यकता नहीं है। कार्रवाई का पहला कोर्स यह पता लगाना चाहिए कि आपके खाते में डोमेन व्यवस्थापक अनुमतियाँ क्यों हैं और यदि यह वास्तव में आवश्यक है। ऐसा करना पूरे नेटवर्क में सुरक्षा समस्याओं को ठीक करेगा, न कि केवल एक छोटी सी लक्षण समस्या जिसे आपने यहां खोजा है। यदि आपके पास डोमेन व्यवस्थापक अधिकार रखने का कोई वैध कारण नहीं है और SupportGuy कहा गया है कि आप वास्तव में प्रशासनिक शेयर को हटाने पर विचार करना चाहिए, तो हटाने के लिए तैयार नहीं है।


5
पुनः व्यवस्थापक अधिकार: यह केवल तब होता है जब उपयोगकर्ता एक डोमेन व्यवस्थापक, या लक्ष्य पीसी पर एक स्थानीय प्रशासक होता है । यह तब नहीं होता है जब उपयोगकर्ता अपने स्वयं के पीसी पर स्थानीय व्यवस्थापक होता है लेकिन किसी और का नहीं।
विशालकाय जूल

3
हो सकता है वह पूरे नेटवर्क पर एक व्यवस्थापक न हो। अक्सर कंप्यूटर स्थापित करते समय, कुछ व्यवस्थापक स्थानीय उपयोगकर्ता समूह में डोमेन उपयोगकर्ता समूह जोड़ देंगे ताकि कोई भी, जो नीचे साइटें स्थापित कर सकें, आदि चीजें स्थापित कर सकें, यदि आप हर कंप्यूटर पर ऐसा करते हैं, तो आप हर जगह एक व्यवस्थापक होने का प्रभाव डालते हैं। , लेकिन सर्वर।
केकोट्रायु

यही कारण है कि मैंने कम तकनीकी क्रिया का उपयोग किया "आपका उपयोगकर्ता खाता संभवतः नेटवर्क पर प्रशासक के रूप में सेट है"। यह अधिक स्पष्ट रूप से कहा जा सकता था, लेकिन इस क्षमता और जानने वाले व्यक्ति के लिए, मुझे यह उचित लगा।
Music2myear

1
यह स्थिति मुझे लगता है की तुलना में डरावना लगता है। मैं वास्तव में पॉट को हलचल नहीं करना चाहता, लेकिन मैं सोमवार को द सपोर्ट गाय या नेटवर्क व्यवस्थापक तक इसे लाने जा रहा हूं। मैं वास्तव में इसे स्लाइड नहीं कर सकता।
जोश जॉनसन

11

C $ प्रशासनिक हिस्सा है। आपको शायद इसे अक्षम नहीं करना चाहिए, क्योंकि यह चीजों को तोड़ सकता है।

यहां वास्तविक सुरक्षा मुद्दा यह है कि ऐसा लगता है कि उन्होंने हर मशीन पर सभी को प्रशासक बनाया (हो सकता है कि डोमेन उपयोगकर्ताओं के माध्यम से स्थानीय प्रशासक समूह में जोड़ा जा रहा हो)।

कुछ मायनों में, चूंकि व्यक्तिगत रूप से कोई मुद्दा नहीं होना चाहिए, मेरा मानना ​​है कि कुछ भी स्थानीय रूप से पहली जगह में संग्रहीत नहीं किया जाना चाहिए, और यह कि "मेरे दस्तावेज़" को सर्वर पर आपके व्यक्तिगत मैप किए गए ड्राइव पर रीडायरेक्ट किया जाना चाहिए, जो वे नहीं करेंगे जब तक कि वहाँ एक भी अधिक सुरक्षा चूक नहीं थे।


मेरे दस्तावेज़ों को मैप करने के लिए +1। मैं सुरक्षा बढ़ाने के रूप में अपने कार्यालय में ऐसा करने पर विचार कर रहा हूं। पहले से ही यह मेरे कंप्यूटर पर चल रहा है और यह एक आकर्षण की तरह काम करता है।
म्यूजिक

उत्कृष्ट अंक (+1)। मुझे लगता है कि एक उपयोगकर्ता को अपने स्थानीय मशीन पर प्रशासक होने से सॉफ्टवेयर के सही ढंग से काम नहीं करने या स्थापित करने (या अपडेट करने) के साथ बहुत सारी समस्याओं से बचा जाता है - यह आमतौर पर प्रशासक के अधिकारों को नहीं देने के लिए परेशानी का एक बहुत अधिक है, लेकिन सभी मशीनों को अनुदान देने के लिए नेटवर्क पर अनावश्यक लगता है।
रैंडोल्फ रिचर्डसन

2

जैसा कि सभी ने कहा है कि ड्राइवलैटर $ खिड़कियों के जीवन का एक तथ्य है।

लेकिन आप सह-डेस्कटॉप डेस्कटॉप पर व्यवस्थापक क्यों हैं? और .. मैं पुष्टि करता हूं कि क्या वह आपके डेस्कटॉप पर एक व्यवस्थापक है? यह यहाँ वास्तविक मुद्दा है।

यहां तक ​​कि अगर आप व्यवस्थापक शेयर को हटाने के लिए थे .. तो आपके डेस्कटॉप पर लॉग इन करने और आपकी फ़ाइलों तक पहुंचने से लोगों को रोकने के लिए कुछ भी नहीं है क्योंकि वे आपकी मशीन पर एक व्यवस्थापक हैं। शेयर, बस लॉग ऑन को बायपास करने का एक आसान तरीका है।

चूंकि आप अपनी मशीन पर एक व्यवस्थापक हैं, मैं व्यवस्थापक समूह पर एक नज़र डालूंगा, अपने आप को स्पष्ट रूप से जोड़ूंगा और फिर उन डोमेन उपयोगकर्ताओं के समूह को हटा दूंगा जो संभवतः वहां हैं।


1
यह बड़ा खतरा है। मुझे लगता है कि यह स्पष्ट नहीं था, लेकिन जो लोग व्यवस्थापक शेयरों को अक्षम करने की सिफारिश कर रहे हैं वे बड़ी तस्वीर को याद कर रहे हैं। और कौन सही है? कंपनी में आपकी भूमिका को देखते हुए यह अद्वितीय नहीं है, इससे मुझे और डर लगेगा। अगर अपने आप में नेटवर्क के व्यापक व्यवस्थापक अधिकार हैं, तो और कौन ??????
सर्फ

1

"कंप्यूटर" पर राइट क्लिक करें (स्टार्ट मेन्यू)

"प्रबंधित करें" चुनें

"साझा फ़ोल्डर" का विस्तार करें

"शेयर" पर क्लिक करें

दाएँ फलक में आप उस पीसी पर सभी शेयर देखेंगे, कोई भी $ छिपे हुए शेयर हैं, आप C $ पर राइट क्लिक कर सकते हैं और "स्टॉप शेयरिंग" का चयन कर सकते हैं

डार्थ द्वारा सुझाव के अनुसार, शेयर को रिबूट पर फिर से बनाया जाएगा।

आप इसे रजिस्ट्री में अक्षम कर सकते हैं, लेकिन मुझे नहीं लगता कि आपकी कंपनी इसकी सराहना करेगी।

आप Windows फ़ायरवॉल में फ़ाइल साझाकरण को अक्षम कर सकते हैं, लेकिन यह सभी फ़ाइल शेयरों को मार देगा।


और यह आपको चेतावनी देगा "यह शेयर केवल प्रशासनिक उद्देश्यों के लिए बनाया गया था। सर्वर सेवा बंद होने और फिर से शुरू होने या कंप्यूटर को पुनरारंभ करने पर यह शेयर फिर से दिखाई देगा। क्या आप सुनिश्चित हैं कि आप C $ साझा करना बंद करना चाहते हैं?"
Ƭᴇc atιᴇ007

0

प्रशासनिक शेयरों पर विकिपीडिया पृष्ठ आपके सवालों के जवाब चाहिए। मूल रूप से उन शेयरों को एक्सेस करने के लिए आपका खाता प्रत्यक्ष या अप्रत्यक्ष रूप से (सबसे अधिक संभावना है) सभी कंप्यूटरों पर स्थानीय प्रशासनिक समूह का हिस्सा है।

कमांड लाइन के माध्यम से चलने वाले समूहों को देखने का एक तरीका है gpresult /R:। व्यक्तिगत रूप से आपका आईटी विभाग अयोग्य लगता है, यदि सभी उपयोगकर्ताओं के पास सभी कंप्यूटरों के लिए स्थानीय व्यवस्थापक पहुंच हो। उस के साथ मैंने कहा कि मुझे लगता है कि आपको अभी भी चीजों को मोड़ना नहीं चाहिए लेकिन यही मैं करता हूं:

  • कंप्यूटर प्रबंधन खोलें (कंप्यूटर पर राइट-क्लिक करें, प्रबंधित करें)
  • बाईं ओर का चयन करें: सिस्टम उपकरण \ स्थानीय उपयोगकर्ता और समूह \ समूह
  • Administratorsसमूह पर डबल क्लिक करें ।

हर कोई जो समूह का सदस्य या समूह का सदस्य है, Administratorsआपके प्रशासनिक शेयरों तक पहुंच होगी। पहली बात तो यह है कि अगर आप पहले से ही असफल नहीं हैं तो अगर आपको बहुत मज़ा आने लगे तो आप अपना खाता सीधे जोड़ लेंगे ... अब आप उन उपयोगकर्ताओं / समूहों को हटाकर चीजों को तोड़ सकते हैं जिनके बारे में आप नहीं चाहते हैं पहुंच।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.