服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何防止访问\\ 127.0.0.1 \ c $或\\ localhost \ c $
Intereting Posts
带有nftables和VLAN的透明防火墙 无法更改Microsoft DNS中的启动方法 在Sun硬件上的Linux下不能使用该磁盘 可能的攻击我的SQL服务器? 尽pipe全面禁用了IPv6,域上的某些工作站/服务器仍使用IPv6来代替IPv4地址 获取Windows Multipoint Server 2012工作站的IP或MAC地址? SSH连接不受打扰,如何find方法? 在CentOs vmware中 关于Kerberos,代理和SPN的混淆 VBScript导出组的Active Directory用户是成员? 在Ubuntu 12.04的sysctl中设置值时,权限被拒绝 使用DD在Linux中克隆Flash驱动器 如何在绑定界面上放置一个桥? Nginx反向代理和IIS 我如何在centOS中将MongoDB作为服务来安装 为什么我的域控制器拒绝与另一个子网上的客户端交谈?

如何防止访问\\ 127.0.0.1 \ c $或\\ localhost \ c $

出于安全考虑,我们希望阻止用户访问他们的计算机和terminal服务器上的C盘。 这些用户不是他们的工作站或服务器上的本地pipe理员。

我们已经实施了以下组策略设置:

  • 从开始菜单中删除运行菜单
  • 在“我的电脑”中隐藏这些指定的驱动器 – 仅限制C驱动器 – 防止从“我的电脑”访问驱动器 – 仅限制C驱动器

这确实阻止了用户从Windows资源pipe理器访问C驱动器。

但是,如果input\ 127.0.0.1 \ c $或\ localhost \ c $,则可以通过以下任一方式访问C驱动器:

Internet Explorer / Edge

Microsoft Word中的链接

我怎样才能防止这个? 我再说一遍 – 他们不是以任何forms的pipe理员,但他们可以通过pipe理共享访问C驱动器。 (我也不是唯一报告这个问题的人)。

我很乐意阻止访问任何UNCpath(只要我仍然可以映射驱动器),或者阻止或误导127.0.0.1/localhost。 但是我没有尝试过,我真的需要阻止这个。

有任何想法吗? 对于我来说,find一种方法可以在Windows 10 Enterprise上阻止这种情况,但这在各种Workstation和Server操作系统中似乎都是一个问题。

谢谢,

大卫

这是我最初的答案:

这真的不是默认行为,所以你有一些奇怪的事情。 或者默认权限已经被修改了(IIRC对于传统武器来说不是那么简单),或者他们是pipe理员(我知道你说他们不是,但这可能是间接成员),高级用户或者备份操作员。 可能还有打印操作员。

我很欣赏这不是你想听到的,因为你已经强调了用户不是pipe理员,但是我已经为人们研究了几十次这样的事情,而且事实上总是像“噢,我想我的同事总有一天会把'all_staff'添加到'pipe理员'组中,因为首席执行官正在尖叫他不能从家里把RDPjoin服务器。

这是非常错误的,但值得留下来作为一个长期以来没有经过足够的考验的例证。 我相信这是从Windows的早期版本的行为的变化,但我不知道什么时候会发生变化。

在这里输入图像说明

我已经使用Windows 10 Pro和Enterprise进行了testing,以防万一他们有不同的默认设置,用户可以浏览本地pipe理共享,并且您的控制选项似乎相当有限。 您可以closurespipe理共享作为mdpcbuild议(请参阅https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008 )为Microsoft源代码),但它可能会干扰各种pipe理工具在这些计算机上的工作方式(例如,可能会阻止自动部署代理部署/更新),所以我真的会推荐它。

顺便说一句,通过GPO描述的方式隐藏驱动器与驱动器或共享的权限无关。 这只是在Windows中触发一个标志来隐藏某些驱动器号。 这不是可靠的或强大的,我看到很多pipe理员在教育,例如,疯狂试图把这个反对任何学生可以做,但它是徒劳的。

但是,虽然用户可以访问其本地pipe理员共享,但他们无法访问其他PC上的共享,并且通过共享访问仍然只能授予他们“通常”具有的访问权限。 因此,用户不能用这种方式“破解”系统; 他们不能改变他们没有权限改变的东西。

但是,您可以并且应该lockingc:\驱动器的根目录。 这里有一些说明:

  1. 转到您的DC,打开ADUC,为那些无法将文件保存到根驱动器的用户创build一个安全组(如“lockingC盘”)。
  2. 打开GPMC,创build一个链接到目标机器的GPO。
  3. 编辑策略并打开[计算机configuration| 政策| Windows设置| 安全设置| 文件系统]右键单击“文件系统”,select“添加文件…”并select“C:”驱动器,进入。
  4. 在安全页面中,单击“高级”button。 添加安全组“lockingC盘”。
  5. 突出显示该组,请单击高级。 在高级安全设置窗口中,确保仍然select了正确的组,然后单击编辑。 在这里输入图像说明
  6. 将types更改为“拒绝”并将其应用于“仅此文件夹”。
  7. 点击“显示基本权限”/“显示高级权限”切换,以便您可以看到高级权限。
  8. 勾选以下项目的拒绝权限:“创build文件/写入数据”和“创build文件夹/追加数据”。 在这里输入图像说明
  9. 单击确定退出权限编辑器,然后再次单击确定。
  10. 在拒绝权限的警告窗口中,单击是。
  11. 将安全策略设置为'configuration此文件或文件夹',然后select'将可inheritance权限传播到所有子文件夹和文件'(这是在开始使用此设置之前仔细检查您是否完成了第6步的地方)。

给GPO时间进行复制和应用( gpupdate /force可以在这里帮忙,如果你匆忙),你现在应该发现用户不能在c盘的根目录下创build文件。 他们应该只有真正有权限在\ users \自己的文件夹在这一点上。

我发现这里提到的registry修复中的问题的解决scheme:

https://social.technet.microsoft.com/Forums/office/en-US/b168408e-a540-4e3a-92cc-3121486ceb78/admin-shares-available-to-nonadministrative-users-over-loopback-address?forum= winserversecurity

我testing了它,它工作。 我通过组策略部署了更改,计算机收到更改。

这篇文章还讨论了这是从Windows 2003迁移到Windows 2008所发生的变化:

“出现此问题的原因是Windows Server 2008中的pipe理共享的默认共享权限已更改,允许活动login帐户访问pipe理共享。

pipe理共享的默认共享权限由registry值HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ DefaultSecurity \ SrvsvcShareAdminConnect控制。

要configurationWindows Server 2008的行为与Windows Server 2003的行为相同,我们可以从Windows Server 2003导出上述registry值,并将其导入到Windows Server 2008中。请注意:我们需要重新启动服务器才能使更改生效。 “