web-dev-qa-db-ja.com

デフォルトのWindows共有の重要性

Windowsサーバー(2003)でいくつかの共有を設定する必要がありますが、それらのデフォルトの共有は本当に好きではありません(C$ADMIN$IPC$)。

これらの共有を削除するべきではないことを覚えているようですが、共有サービスが無効になっていると、とにかく機能しません。サービスが有効になっているときに、なぜそれらを残す必要があるのでしょうか。再起動のリスクを冒さずにそれらを削除できますか?

私はいつも彼らを責任だと思っていたので、間違っていたら訂正してください。

windows-server-2003securitynetwork-sharedefaults
5
Berzemus

あたり この記事 マイクロソフトサポート技術情報から:

  • DriveLetter $:これは共有ルートパーティションまたはボリュームです。共有ルートパーティションとボリュームは、ドル記号($)が付加されたドライブ文字名として表示されます。たとえば、ドライブ文字CとDが共有されている場合、それらはC $とD $として表示されます。
  • ADMIN $:これはコンピューターのリモート管理中に使用されるリソースです。
  • IPC $:これは、プログラム間の通信に必要な名前付きパイプを共有するリソースです。このリソースは削除できません。
  • [〜#〜] netlogon [〜#〜]:これはドメインコントローラーで使用されるリソースです。
  • [〜#〜] sysvol [〜#〜]:これはドメインコントローラーで使用されるリソースです。
  • PRINT $:これはプリンターのリモート管理中に使用されるリソースです。
  • FAX $:これは、FAX送信中にFAXクライアントによって使用されるサーバー上の共有フォルダーです。 NETLOGONとSYSVOLは非表示の共有ではないことに注意してください。代わりに、これらは特別な管理共有です

Royの回答に従って、これらの共有をライブで削除できます。

注:Windowsは、再起動後に管理共有を自動的に作成します。この動作を防ぐには、regeditを使用して次のキーを見つけます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

次の2つのDWORDレジストリ値を作成します。

 AutoShareServer 0 
 AutoShareWks 0
5
Bork Blatt

このマイクロソフトの記事を見てください:
クライアントコンピューターで非表示または管理共有を作成および削除する方法

非表示の共有を削除するには、次の手順に従います。

コントロールパネルで、管理ツールをダブルクリックし、[コンピューターの管理]をダブルクリックします。
共有フォルダを展開し、共有をクリックします。
共有フォルダ列で、削除する共有を右クリックし、
クリック共有の停止、次にクリック[〜#〜] ok [〜#〜]

トラブルシューティング
デフォルトの管理共有を無効にした後、プログラムとサービスの機能をテストします。一部のWindowsサービスは、これらの共有の存在に依存しています。

編集:(Bork Blattに感謝)
コンピュータを再起動した後に共有ドライブが再作成されないように、レジストリを編集する必要があります。
wiki

3
Jindrich

私がそれが壊れていることに気付いているのは、SMSやMOMなどのMS管理ソフトウェアだけです。上記のハウツーKBでさえ、「Microsoftが推奨するもの」を提供するだけで、ひどく悲惨ではありません。

2
Kara Marfia

あなたが筋金入りの人なら、彼らは責任があると思います。私はそれらが便利だと思い、毎日C $/D $を使用しています。それらに接続するには管理者である必要があるため、それらを削除する理由はわかりません。ロイはすでにMSの記事をリンクしてそれらを取り除きました。再起動が必要だと思います。再起動を待っている間に他のユーザーがすべての共有に接続するのを停止する必要がある場合は、「サーバー」サービスを停止できます。

0
MathewC

デフォルトでは、これらの共有に匿名でアクセスすることはできないため、ユーザーが悪用される可能性がある前に、ユーザーはすでに認証されている必要があります。また、悪意のあるユーザーがすでにネットワークに参加している場合は、デフォルトの管理共有よりも心配すべきことが大きいと思います。

とにかく、それらに依存する可能性のあるWindowsサービスは別として、管理者としては信じられないほど便利です。例えばリモートでマシンのCドライブにアクセスする必要がある場合。

私の本能は、組み込みの機能を台無しにしないことです。それは、明白に思われるものをはるかに超えた影響を与える可能性があるからです。

0
Maximus Minimus

まだコメントはできませんが、NETLOGONとSYSVOLの共有に関するBorkの投稿を拡張したいと思いました。

Netlogonは、ADがログインスクリプトを取得するデフォルトの場所になります。 Sysvolは、サーバーの役割に応じてグループポリシーとカタログを保持します。

@MatthewCマシンを危険にさらした場合は、別のアカウントを追加し、管理者アクセスを許可します。これらのネットワーク共有へのフルアクセスを取得できます。私はルームメイトのコンプにそれをしていました...

SO 1台のマシンを危険にさらすのは簡単ですが、面白くありません。

0
XTZ

以前はこれらを無効にすることが推奨されていましたが、SMS/SCCMなどの環境を管理するために使用する製品が多すぎます。たとえば、一部のパッチ管理製品は、管理共有を使用して展開します。だから私たちはそれらを残します。重要なのは、システムの管理者権限を持つ必要がある有効な人だけがそれを持っていることを確認することです。そうしないと、誰かが入ってそれらを再度アクティブにする可能性があるためです(はい、GPOを介して設定を強制的に元に戻すことができることは承知していますが、GPOが機能したり、影響を及ぼしたりするのを防ぐ方法がありますそれらの設定)。

0
K. Brian Kelley