[решено] Как закрыть доступ к общим папкам дисков по сети (с$)
 

Как избавится от расшаривания дисков при загрузке?

shares
 

1) идешь на мой сайт (ссылка ниже).
2) кликаешь в левом фрейме на сервисы, и там целый список вылазит, нужен LanmanServer.
3) далее ищешь параметры AutoShareWks и AutoShareServer
4) правишь в реестре то, что надо.

shares
 

Сними галочки на дисках во вкладке "доступ" или можешь зайти в настройки в сети и так же снять галочки "делать общими файлы и принтеры данного компьютера".

shares
 

Evil
1) все равно выставятся потом.
2) на название форума глянь.

Два компьютора соединены в сеть. На одном стоит Win2000, на втором - win98.  Настоен TCP/IP протокол. Если я под win2000 открываю доступ к папке по сети, то в сетевом окружении на этой машине я ее вижу, а на другой нет :( Если шарирую весь диск, то все нормально. Как сделать, чтобы доступ был не к целому диску, а только к папке????

Tanya
имя у папки какое? для 9x с этим ограничения большие есть.

а разрешения на доступ ты нормально поставил ?

misha
я так понял, его совсем не видно, а не то, что не пускает.

Имя папки "Мои документы" А какие ограничения???? Я его могу переименовать, это не существенно.

Думаю, что да. Потому что точна такие же настройки разрешения на доступ я ставиля и для диска в целом, и он виден.


Да его совсем не видно.

На компе, где стоит win2000 только один диск C. И win2000 не дает его сделать общим (загружена администратором). По-этому я начала пытаться сделать общей только папку. А вот CD-ROM сделать общим можно без проблем. Может проще как-то все таки сделать общим весь диск C, чем отдельную папку?? Но как это сделать???

когда папку шаришь, там можно ее имя ввести, под которым она будет видна. Введи что-нить типа Docs и если после этого не видно ее будет - свисти.

Добавлено:

во-первых, оно уже есть, только ресурс - не \\имякомпа\C, а \\имякомпа\C$
Значок $ на конце имени определяет, что ресурс в сетевом окружении будет невидимым, но к нему можно получить доступ.

Во-вторых, можно сделать и \\имякомпа\C, только для начала надо запретить системе создавать такие шары с $, эля этого надо слазить в реестр (RegEdit.exe поможет)
AutoShareWks:DWORD=0
AutoShareServer:DWORD=0
это все должно быть прописано в реестре по адресу
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
там этих параметров по умолчанию нет, так что их надо будет создать. После этого надо перезапустить службу сервера или перезагрузиться. Потом система не будет создавать эти скрытые админские ресурсы, и можно будет без проблем расшарить весь диск C.

Наличие системной шары не мешает расшарить диск как обычно - надо просто сделать New Share и будут две шары на один и тот же диск - одна для админов с$ и другая видная всем - с.
:up:

А где это делается???

Tanya
Диск - доступ. Там ты видишь шару C$. Нажимаешь "новый общий ресурс" (new share). Называешь ее просто С -> ОК. Появляется новая шара, которую видно всем.

Спасибо всем большое!!! Создала New Share и все работает!!!!

Помоему вся загвоздка в том что 98-е не очень любят шары с русскими именами

была у меня такая трабла , я правда так и не понял в чём проблемма была , на диске D папка Install так она тоже шарится давала , а воёти нельзя было , закончилось банально перекопировал всё в другую удалил старую , создал новую , расшарил и всё прошло

[s]Исправлено: misha, 18:04 24-06-2002[/s]

Привет!
Как расшарить понятно. Но как с паролем???:(
по запросу к ресурсу запрашивался пароль.

[s]Исправлено: wildman, 16:11 1-07-2002[/s]

Проверь, какие протоколы (tcp/ip и т.д.) у тебя установлены. Если есть ipx, то снеси его и спокойно расшаривай папки.

Значит, люди, проблема (вопрос) такая (ой) - на рабочем компе работает юзер, а админ, тем временем, ковыряется в файлах на этой машине по сети, что совсем не есть хорошо - можно ли некоторые папки сделать для него недоступными (при условии, что на локальной машине под админом не зайти)

human
Это почему ж это так?

можно, но он все сможет вернуть в любой момент.

так он админ или нет?

а вообще, если это вопрос человека, который работает на компе в домене организации, то политика организации по отношению к людям с такими претензиями должна быть максимально строгой. Ибо за сеть/компы и их работоспособность отвечаете не Вы, а админ, который собственно и нанимался для этого. Если на компе личные данные - то почему они хранятся на служебной машине? У администратора должен быть ПОЛНЫЙ доступ ко всем тачкам в домене в ЛЮБОЕ время, видимо у Вас не возникали еще моменты, когда простой/неправильная работа сети/серверов приводила к финансовым потерям, раз такие глупости пишете.

Короче, я бы на месте админа за такие вещи насовал бы всем по самые помидоры. Методов-то много, начиная от инета и кончая политикой на длину пароля.

Нет, нет! - все не так плохо. Дело в том, что нужно скрыть от админа не личные папки, а  конфиденциальные документы (таблицы ключевания, финансовые распоряжения и т.д., за разглашение которых башку оторвут именно владельцу машины - их даже админу смотреть категорически нельзя). А вся система организована так, что пользователь служебной машины заходит на нее именно как User со всеми вытекающими.

human
правила работы с секретными документами не позволяют держать их на машине с Windows NT, подключенной в сеть. Так что очень странно, что по таким документам кто-то по сетке шарится.

А вы хотите обрубить админа имея права юзера?
Ну можно конечно, только геморно, и все зависит от квалификации админа, и обязательно при условии, что он забывает дыры закрывать. Если удастся - можете его уволить.

Весь набор операций надо разделить на 2 отдельные части.
1-я - это получение необходимых прав для второй. Скажем, надо получить права админа. Для этого достаточно уметь запускать приложения от имени системной учетной записи. Одна из таких дыр, которую обычно не закрывают - это Центр управления от Касперского, с его помощью можно имея права юзера запустить задачу (musrmgr.exe или mmc.exe соответственно) под системной учетной записью. Еще модно подменять exe-шники или запускать последние эксплойты, типа DbgExploit.

Разберетесь с правами - будем дальше общаться.
Но вообще я настаиваю, что такие вещи решаются не запретом, а аудитом на доступ+административными мерами.

Я получил имя и пароль админа, какие мои действия дальше.

1) вырубаешь службы удаленного управления реестром и сервера.
2) прибиваешь в реестре административные шары C$, D$,...
3) идешь в политку безопасности, там запрещаешь администраторам доступ из сети.
4) ставишь файрвол, которым выборочно закрываешь порты 13* и 445, а также любую другую лазейку, которую для себя оставил администратор.

Как админ все может вернуть назад - не скажу. Но запомните, у администротора ВСЕГДА есть возможность все вернуть назад, как, впрочем, и у любого с физическим доступом к винчестеру, кроме случаев использования шифрования

Спасибо большое :)

как отключить диски на общий доступ
 

они стоят по умолчанию на общий доступ,так вот как их отключить чтобы даже после перезагрузки к ним не было доступа

как отключить диски на общий доступ
 

так как курсы начинающих телепатов я прогуливал, то надо в
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
добавить 2 параметра
AutoShareWks:REG_DWORD=0
AutoShareServer:REG_DWORD=0

Привет всем! :rupor: Как сделать так чтобы винда 2000 не прошаривала вообще стандартные общие ресурсы? я понимаю что они только для админов, но всё равно не хочу чтобы они были у меня

Как мне кажется единственный путь - остановить службу Server. Тогда доступ к этим ресурсам будет закрыт.

что вообще за нежелание пользоваться поиском?

Wow! да мой запрос перенаправили на раннее обсуждение этой темы :up: Я бы воспользовался поиском, но только поиск не самый лучший тут. ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения, то было бы вобще круто :biggrin:
Спасибо за помощь :)

Andrewkras
а он так и делает.
вводишь AutoShareWks - и VOILA.

vasketsov
для рабочих станций

адля серверов

Nik
ну так, вообще-то, но мне не жалко оба параметра написать, так надежнее:gigi:

Win98 Не видит расшареные ресурсы если в их имени имеется пробел. Теореоически к ним можно подключиться набрав ручками полный адрес (поверенно на принтерах).

Просмотри пароль юзера на 98 и поставь соответствующий на папку, а насчет
несогласен, у меня на обоих машинах он присутствует (только не надо сарказма, для работы надо, а то некоторые проги юзверей требуют) так ниче, на сервак в свои папки залетают без паролей.
wildman проверь учетные записи на обоих машинах.

Только что поставили домен. Опыта нет. Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр. Необходимость подключения к домену - почтовая и ряд аналогичных систем.

Guest
Что ты имеешь в виду? Закрой все ненужные шары и как ты говоришь: Не все рабочии станции (банк-системы) будут доступны с домена на просмотр...

Файловую систему на этих компах NTFS сделайте. Если уже FAT32, то можно воспользоваться утилитой convert.
Шары все закройте, как пишет Wolf. Удалите из локальных групп пользователей всех доменных пользователей и все доменные группы, кроме того доменного пользователя, кто будет работать за компом. Пароль его должен быть длинным и трудноугадываемым.

Для еще большей безопасности поставьте на эти станции персональный firewall, их много разных.
Можно еще зашифровать средствами NTFS какие-то директории или файлы.

По-моему не закроешь. Приоритет у сервера.

А можно подробно описать, что есть и что надо?
А то как понять закрыть от просмотра?

Сделай шару с знаком $ тоды её никто видеть не будет а те кому надо подключи как сетевой диск (net use) еще вариант через политику безопасности убери доступ кому не надо они просто ничего сделать не смогут.

Guest
Сервер не причем. Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите :wink:

Andrew Denny
Неверно, для этого существуют файрволы.
Еще более неверно.

lepa
Если только не смогут попроавить эту самую политику.

vasketsov
Интерестно узнать как сможет пользователь домена без админовских прав поменять политику, ежели можа то прошу объяснить.

Вообще-то мне пока что неизвестна правильная формулировка задачи, потому распространять решение на админов или нет - тоже неизвестно.

Формулирую задачу:
Надо опровергнуть цитату: "Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите "
Определяющим здесь является то, что Админ - это не конкретный исполнитель, а тот кто обладает паролем Админа. В конкретной ситуации паролем обладает несколько людей. Дольше можно не объяснять.
Надо закрыть диски (или их часть) Раб Станции на просмотр, оставаясь в сети домена для работы с прикладными задачами.

Guest
Васкецов здесь уже опровергнул некоторые моменты, но все равно, что-то здесь не так. Можно действительно закрыть машину файрволлом. Но его-то тоже нужно настроить и им управлять. Админ есть админ.

А вот это уже криминал. Один человек - один пароль. Это закон.
В конце концов можно удалить группу доменных админов из группы локальных (так ставится по умолчанию при вводе машины в домен) и прописать там одного конкретного админа - доменного или локального. И он будет управлять всеми правами и политиками на этой машине. Ну путь ответственный менеджер станет админом на этой машине, а заодно научится всей нашей премудрости :wink:. Или наймет локальное КГБ, и им будут платить за то, что они всех подозревают. Ну не бывает ИМХО по другому.

Andrew Denny
Существуют определенные задачи, которые должны иметь возможность выполнять несколько человек и для которых необходимо поддерживать бесперебойность в работе. Пример - пароль рута на веб-сервере, должен храниться в сейфе, и возможность им пользоваться должна быть как минимум у того, кто в ДАННЫЙ МОМЕНТ отвечает за его работу - сегодня один дежурит, завтра другой.

1) зайти всегда сможет? нет, не всегда. локальный комп имеет свою политику безопасности, которая в данном случае должна отличаться от остальной политики. Локальный доступ блокируется элементарно, удаленный - тоже, остается только одна дыра - власть имеет тот, кто пишет логон-скрипт и правит профиль. Профиль делается локальным, логон-скрипт запрещается административно как класс (все равно там обычно только время правится). Если надо совсем жестко и жестоко - смотрим что за трафик по каким портам идет и выборочно натравливаем на них локальный файрвол (на котором запрещаем удаленное администрирование, и файером можно будет рулить только локально).

2) C$ убивается а) запрещением службы сервера, б) параметрами AutoShareWks и AuoShareServer соответственно. Для включения назад придется править удаленно реестр и запрещать удаленный доступ, что тоже решаемо. В конце концов, группы админов домена и юзеров домена выкидываются из всех локальных групп.

3) А что тут опровергать?

vasketsov
Классно обьяснил!!! Доходчиво!!!
Andrew Denny
vasketsov прав C$ можно убить!!!

J Fox
Да согласен я, согласен! Напали, понимаешь... ;)

vasketsov
Спасибо!

Все это здорово. Особенно пп. 1 и 2.
Но в связи с моим первым сообщением и вторым в нем предложением, как бы объснить все это поподробнее.
Пока я понял, что проблема решаема. Не понял как.

Guest
Ну прямо дети, чесслово, где нормальное описание проблемы?

Комп обязательно должен быть в домене, это надо только лишь для того, чтобы пользоваться другими ресурсами, или существует действительно веская причина для этого?

Доступ закрывать из сети для всех вообще или выборочно?

Какой именно доступ закрывать? Удаленное управление, просмотр расшаренных папок?

говорите точно, сколько весить.

Комп в домене потому что работает с рядом программ на сервере, например с почтовой. Задача: запретить доступ с домена на комп и на просмотр и на управление ессно.

Guest
Для этого в одном домене необходимости нет.
Еще есть причины чтоб оставить его там?
Активнее, если вывести из домена - все будет совсем просто.

...а так ли уж вам нужно заходить в домен???
...что бы читать почту не обязательно сидеть в домене... настраивайте по нормальному почтовый клиент, просто каждый раз при загрузке клиента вам придётся набирать свой пароль... подключать шары на серваке автоматом можно с помощью скрипта в автозагрузке... net use вам в помощь... а остальное как говорили выше...

А как убрать IPC$?

Guest
Никак, только остановив LanmanServer aka Служба сервера.

:o  !!! К А Р А У Л !!! Минисофт в полит целях зашарила наши с Вами ресурсы! Ребята, пока не поздно - переходите на великий LINUX :biggrin: . Форточки до добра не доведут...

Да у меня такая же проблема.. злобные админы моей локалки безжалостно шарятся по моему компу. Я закрываю эти ресурсы, а они снова их открывают. Запускают мне на комп dmadmin и dmremote и делают с моим компом все что хотят. Издеватся по всякому, да в довесок еще сидюк туда-обратно дергают.

Скажите как избавится от нападков таких вот....админов...

Админ на то он и админ, чтобы иметь такие возможности. Если админ правильно все настроил, то у тебя вообще не должно быть прав. По ежели ты локальный админ, или есть права останавливать сервисы, останови сервис "Служба сервера". Или настрой политику доступа к машине.

Ну разумеется на своей тачке я админ, но какого черта админу сетки делать у меня... вот это угнетает.

>>> останови сервис "Служба сервера".

Так конечно можно сделать, но тогда комп вылетает из домена..по крайней мере админ так говорит- может гонит.
Еще пробЫвал убивать IPC$ админ после этого не может создать расшаренных ресурсов у меня...но сетка тоже начинает глюкать.

Да и не помогает это. Пускают от моего имени dmadmin и шарятся дальше..

Вообще я считаю бредом, то что чел админящий сервак может еще админить и компы в своем домене.
Подскажите что настроить, как уберечься...может в консолях администрирования где покапаться... запретить что=то... домен на вин2000

PS Даже фаервол поставил... достали...

В "Локальные пользователи и группы" из группы "Администраторы" удаляешь "Domain Admins"
и добавляешь себя любимого (хотя ты там наверное есть)

Расскажите, как убить IPC$. При попытке из командной строки - net share IPC$ /DELETE пишет - access denied, т.е. в доступе отказано. Захожу под администратором. Как разрешить себе доступ к закрытию IPC$
Или есть другие методы?

далее за такие дела получаешь свое персональное организационное подразделение с названием "Карцер", к которому прикреплена групповая политика с настройками "групп с ограниченным доступом" (например что во встроенную группу Администраторы входят только Администраторы домена [Domain Admins] *и только), а также принудительный запуск служб Сервер (и Телнет для пущего смеха).

Занавес.

Администратора домена никак нельзя ограничить в правах на клиентов домена.

[s]Исправлено: SkyF, 13:38 2-03-2004[/s]


[s]Исправлено: SkyF, 15:12 4-03-2004[/s]

SkyF
Домена нет. Сеть из 7 компов.

UZER


как указано выше от IPC$ -  можно избавиться только остановив службу Server.

а зачем от нее избавляться - те наличие IPC$  просто свидетельствует о том, что на данной машине доступны общие папки (если их создать) - те как работает служба Сервер.

А я скажу! Ибо все одно нефиг от админов шары крыть, тут вопрос доверия! А разлочивается тачка очень даже легко, системная дискета + удаление некоего файла, дальше заходим под админом с пустым паролем (конечно если система без шифрования)!

human
А секретные документы я бы держал на криптованном диске (ПГП, Бест Крипт). Против него системная дискета не поможет. И конечно регулярно удалять своп и Темп. =))

Как отключить общий доступ к дискам в Windows 2003 Server?
 

Как отключить общий доступ к дискам в Windows 2003 Server? Пытался отключить через свойство диска-> Доступ-> Отменить общий доступ к этой папке, но при перезагрузки все диски снова становяться общими. Что можно еще сделать?

Как удивительно!
я задавал точно такой же вопрос на многих форумах!
Но мне никто неотвечал!
Но на одном форуме всё же ответили!
Никак! можешь неволноваться всё у тебя закрыто! это необходимо для правильной работы твоей системы!
Но у меня теперь всегда пишет что доступ закрыт!
незнаю почему ! либо я поставил программу LanSafety которую и тебе советую,которая запрещает доступ на твой компьютер либо я поставил сервис пак!

УДАЧИ!

не отвечают, может быть, потому, что ответ на этот вопрос очень легко находится в поиске
вот например тут
http://forum.oszone.net/showthread.p...4&page=0&pp=20

MB- ты наверно непонял?
У меня с этим неут проблемы !
Проблема была когда то но я её уже устранил!
И не я создал тему!

Сколько раз твердили миру о полезностей FAQ .....
взято из FAQ :

Как полностью отключить скрытые общие ресурсы (ADMIN$, C$, D$ и т.д.)?
Данные скрытые ресурсы существуют по умолчанию. Доступ к ним возможен только из под аккаунта администратора, поэтому не рекомендуется задавать для этого аккаунта слишком простой пароль (например, Enter :)). Для увеличения степени секретности можно также изменить имя пользователя "Администратор" на другое. Если удалить эти ресурсы через "Управление компьютером" -> "Общие папки", то после перезагрузки они появятся снова. Полностью отключить скрытые ресурсы можно только с помощью правки реестра. Откройте раздел
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Добавьте или измените следующие значения:

Операционная система Параметр Тип Значение
Windows 2003 Server AutoShareServer REG_DWORD 0


Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.

net share c$ /delete
net share d$ /delete
net share e$ /delete
.
.
net share admin$ /delete
net share ipc$ /delete

RaZZoRRo

а скажи мне позжалуйсто !каким тогда я образом добился постоянного закрытия дисков?
Программой?
или ещё чем?


Думаю, стоит написать письмо штатному телепату форума.

Вот чего незнаю , того незнаю. Но если сообщите чем , будет интересно услышать.

Как закрыть доступ к дискам по сети (с$)
 

Добрый день!
Одноранговая сеть, Вин 200проф. Как убрать доступ к локальным дискам по сети через \\имя_Пк\c$. Извините, медленный интернет, поэтому не могу полазить по форуму.

Спасибо.
Денис

Остановить службу "сервер".

YDen
В реестре, в ветке
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
параметр AutoShareWks (если его нет, то создаем)
DWORD
значение 0

YDen
Сменить пароль локального администратора на более сложный и никому его не говорить - больше никто, кроме вас, не будет иметь доступ к локальным дискам через административные общие папки.

ЗЫ тему закрыли. YDen - предупреждение за такие банальные вопросы, как вы сами понимаете - вопрос банальный . в форуме обсуждали еще лет 5 назад, любой FAQ содержит ответ на этот вопрос.