Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Chia sẻ quản trị được sử dụng trong Windows để truy cập và quản lý máy tính từ xa. Nếu bạn mở bảng điều khiển quản lý máy tính (compmgmt.msc ), mở rộng phần Công cụ hệ thống -> Thư mục được chia sẻ -> Chia sẻ hoặc chạy net share , bạn sẽ thấy danh sách các thư mục chia sẻ của quản trị viên (các thư mục này bị ẩn trong vùng lân cận mạng và quyền truy cập vào chúng bị hạn chế).

Chia sẻ ẩn quản trị trên Windows là gì?

Theo mặc định, Windows tạo các chia sẻ quản trị viên sau:

  • Admin$ - Quản trị viên từ xa (đây là % SystemRoot% thư mục)
  • IPC$ - IPC từ xa (được sử dụng trong các đường ống được đặt tên)
  • C$ - Chia sẻ Drive mặc định

Nếu có các phân vùng khác trên máy tính được gán ký tự ổ đĩa, chúng cũng được tự động xuất bản dưới dạng chia sẻ của quản trị viên (D$ , E$ , Vân vân.). Nếu bạn đang sử dụng máy in dùng chung thì phải có Print$ hoặc FAX$ chia sẻ nếu bạn đang sử dụng máy chủ fax.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Lưu ý rằng tên của các chia sẻ quản trị kết thúc bằng $ . Dấu này khiến LanmanServer ẩn các tài nguyên SMB này khi được truy cập qua mạng (các tệp và thư mục cụ thể trong thư mục mạng chia sẻ có thể bị ẩn bằng cách sử dụng Access-Based Enumeration). Nếu bạn cố gắng xem danh sách các thư mục mạng được chia sẻ có sẵn trên máy tính trong File Explorer (\\computername ), bạn sẽ không thấy chúng trong danh sách cổ phiếu SMB có sẵn.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Bạn có thể nhận danh sách chia sẻ quản trị viên có sẵn trên máy tính từ xa bằng lệnh:

net view \\computername /all

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Hầu hết các trình quản lý tệp của bên thứ ba dành cho Windows đều có các tùy chọn để tự động hiển thị các tài nguyên quản trị có sẵn trên các máy tính từ xa khi duyệt mạng.

Để xem nội dung của một chia sẻ quản trị từ File Explorer, bạn phải chỉ định tên đầy đủ của nó. Ví dụ:\\computername\c$ . Lệnh này sẽ mở nội dung của ổ C cục bộ và cho phép bạn truy cập vào hệ thống tệp của ổ đĩa hệ thống của máy tính từ xa.

Chỉ các thành viên của nhóm Quản trị viên máy tính cục bộ (và nhóm Điều hành viên Dự phòng) mới có thể truy cập vào các chia sẻ quản trị, với điều kiện bạn đã bật SMB, bật chia sẻ tệp và máy in và truy cập qua cổng TCP 445 không bị chặn bởi các quy tắc Tường lửa của Bộ bảo vệ Windows.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Làm cách nào để tắt / bật tính năng chia sẻ của quản trị viên trên Windows 10?

Chia sẻ quản trị Windows thuận tiện cho việc quản trị máy tính từ xa, nhưng chúng mang lại các rủi ro bảo mật bổ sung (Ít nhất, bạn không nên sử dụng cùng một mật khẩu quản trị viên cục bộ trên tất cả các máy tính. Hãy sử dụng LAPS để tạo mật khẩu duy nhất). Bạn hoàn toàn có thể ngăn Windows tạo các chia sẻ quản trị ẩn này.

Cách dễ nhất để xóa chia sẻ quản trị là nhấp chuột phải vào tên chia sẻ trong phần đính kèm Quản lý máy tính và chọn Dừng chia sẻ (hoặc sử dụng net share Admin$ /delete yêu cầu). Tuy nhiên, sau khi khởi động lại Windows, chia sẻ $ Admin sẽ tự động được tạo lại.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Để ngăn Windows 10 xuất bản chia sẻ quản trị, bạn cần mở trình chỉnh sửa sổ đăng ký (regedit.exe ), đi tới khóa đăng ký HKLM \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters và thêm tham số Dword có tên AutoShareWks (dành cho các phiên bản Windows dành cho máy tính để bàn) hoặc AutoShareServer (dành cho Windows Server) và giá trị 0 .

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Bạn có thể tạo tham số đăng ký này theo cách thủ công, từ công cụ dòng lệnh thêm reg hoặc thông qua PowerShell:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

hoặc

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Bạn có thể triển khai tham số đăng ký này cho tất cả các máy tính miền thông qua GPO.

Bây giờ, sau khi khởi động lại, các chia sẻ quản trị sẽ không được tạo. Trong trường hợp này, các công cụ để quản lý máy tính từ xa, bao gồm psexec , sẽ ngừng hoạt động.

Nếu bạn muốn bật tính năng chia sẻ của quản trị viên trên Windows, bạn cần thay đổi giá trị tham số thành 1 hoặc xóa nó:

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Để Windows tạo lại các chia sẻ quản trị viên ẩn, chỉ cần khởi động lại Máy chủ dịch vụ với lệnh:

Get-service LanmanServer | restart-service -verbose

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Bật quyền truy cập từ xa vào Chia sẻ của quản trị viên trên Windows 10 bằng LocalAccountTokenFilterPolicy

Có một vấn đề quan trọng khi làm việc với thư mục chia sẻ quản trị viên Windows trên máy tính không được tham gia vào miền Active Directory (một phần của nhóm làm việc). Theo mặc định, Windows 10 hạn chế quyền truy cập từ xa vào các chia sẻ quản trị đối với người dùng là thành viên của nhóm Quản trị viên cục bộ. Quyền truy cập từ xa chỉ khả dụng trong tài khoản Quản trị viên cục bộ được tích hợp sẵn (tài khoản này bị tắt theo mặc định).

Dưới đây là chi tiết vấn đề trông như thế nào. Tôi đang cố gắng truy cập từ xa các chia sẻ của quản trị viên cài sẵn trên máy tính chạy Windows 10 là thành viên của nhóm làm việc (đã tắt tường lửa) như sau:

  • \\ w10_pc \ C $
  • \\ w10_pc \ D $
  • \\ w10_pc \ IPC $
  • \\ w10_pc \ Admin $

Trong cửa sổ ủy quyền, tôi chỉ định thông tin đăng nhập của tài khoản là thành viên của nhóm Quản trị viên cục bộ trên Windows 10 và nhận được thông báo “ Quyền truy cập bị từ chối " lỗi. Đồng thời, tôi có thể truy cập tất cả các mạng chia sẻ và máy in được chia sẻ trên Windows 10 (máy tính không bị ẩn trong Network Neighborhood). Ngoài ra, tôi có thể truy cập các chia sẻ quản trị trong Quản trị viên được tích hợp sẵn tài khoản. Nếu máy tính này được kết nối với miền Active Directory, quyền truy cập vào chia sẻ của quản trị viên từ các tài khoản miền có đặc quyền quản trị sẽ không bị chặn.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Vấn đề là ở một khía cạnh khác của chính sách bảo mật đã xuất hiện trong UAC - được gọi là UAC từ xa (Kiểm soát tài khoản người dùng cho các kết nối từ xa) lọc mã thông báo của tài khoản cục bộ và tài khoản Microsoft, đồng thời chặn quyền truy cập từ xa vào các chia sẻ của quản trị viên trong các tài khoản đó. Khi truy cập theo tài khoản miền, hạn chế này không được áp dụng.

Bạn có thể tắt UAC từ xa bằng cách tạo LocalAccountTokenFilterPolicy tham số trong sổ đăng ký

Mẹo . Nó sẽ làm giảm một chút mức độ bảo mật của Windows.
  1. Mở Trình chỉnh sửa sổ đăng ký ( regedit.exe );
  2. Đi tới khóa reg sau HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System ;
  3. Tạo tham số DWORD (32-bit) mới với tên LocalAccountTokenFilterPolicy ;
  4. Đặt giá trị thông số LocalAccountTokenFilterPolicy thành 1; Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10
  5. Khởi động lại máy tính của bạn để áp dụng các thay đổi.
Lưu ý . Bạn có thể tạo tham số đăng ký LocalAccountTokenFilterPolicy bằng cách sử dụng lệnh sau:

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

Sau khi khởi động lại, hãy thử mở từ xa phần chia sẻ quản trị viên C $ trên máy tính chạy Windows 10. Đăng nhập bằng tài khoản là thành viên của nhóm Quản trị viên cục bộ. Cửa sổ File Explorer sẽ mở ra với nội dung của ổ C:\.

Quản lý Chia sẻ Quản trị (Admin $, IPC $, C $, D $) trong Windows 10

Lưu ý . Sau đó, chức năng quản lý từ xa khác của Windows 10 sẽ khả dụng. Bao gồm giờ đây, bạn có thể kết nối từ xa với máy tính bằng phần mềm Quản lý máy tính và các bảng điều khiển mmc tiêu chuẩn khác của Windows.

Vì vậy, chúng tôi đã xem xét cách cho phép truy cập từ xa vào các chia sẻ quản trị ẩn cho tất cả quản trị viên cục bộ của máy tính chạy Windows 10 bằng cách sử dụng khóa LocalAccountTokenFilterPolicy. Hướng dẫn này cũng có thể áp dụng cho Windows 8.1, 7 và Windows Server.