web-dev-qa-db-ja.com

Windows:ドメイン管理者であっても、ローカルドライブのリモートアクセスを無効にする

ドメインの一部として管理されているWindows 7 PCのネットワークがあります。私たちが望むのは、ドメイン管理者が物理的にPCの前にいない限り、PCのローカルドライブ(C :)を表示できないようにすることです。つまり、リモートデスクトップがなく、UNCを使用できません。つまり、ドメイン管理者はnot Windowsエクスプローラーに\\user_pc\c$を配置して、そのコンピューター上のすべてのファイルを表示できるようにする必要がありますnless彼は物理的にPC自体。

編集:出てきた質問/コメントのいくつかを明確にするため。はい、私は管理者です---しかし完全なWindows初心者。そして、はい、これと同様の質問のために、私が偏執的である誰かのために働いていると仮定するのは公平です。

これは「社会的な問題と技術的な問題」、「管理者を信頼できるはず」などの議論を理解しています。しかし、私自身がそうである状況です。私は基本的にWindowsシステム管理の初心者ですが、会社の所有者の定義によって安全な環境を作成する必要があります。この定義は、ほとんどの人が期待するものとは明らかに異なります。

要するに、これは珍しい要求であることを理解しています。しかし、ServerFaultコミュニティには十分な専門知識があり、正しい方向に向けられることを願っています。

3
Matt

Yan LiによるTechnetフォーラムからのこの投稿 はそれを十分に簡単に説明しています:

Administratorsグループのみが管理共有にアクセスできます。Administratorsグループに移動し、管理共有にアクセスする必要のないユーザーとグループを削除してください。

複数のクライアントPCの場合、以下のようにいずれかのマシンでそれらを無効にし、レジ​​ストリキーをエクスポートしてから、GPOインポートします。

デフォルトの共有を無効にします。

Windowsは、システムアカウントで使用するために、各インストールで非表示の共有を開きます。 (ヒント:コマンドプロンプトからNET SHAREと入力すると、コンピューター上のすべての共有フォルダーを表示できます。)既定の管理共有は2つの方法で無効にできます。

1つは、サーバーサービスを停止または無効にすることです。これにより、コンピューター上のフォルダーを共有する機能が削除されます。 (ただし、他のコンピューターの共有フォルダーには引き続きアクセスできます。)サーバーサービスを無効にする場合([コントロールパネル]> [管理ツール]> [サービス]を使用)、必ず[手動]または[無効]をクリックしてください。再開した。

もう1つの方法は、レジストリを介してHKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parametersを編集する方法です。サーバーの場合は、REG_DWORD値が0のAutoShareServerを編集します。ワークステーションの場合は、AutoShareWksを編集します。これらの共有を無効にすると、セキュリティが強化されますが、アプリケーションで問題が発生する可能性があることに注意してください。実稼働環境でこれらを無効にする前に、ラボで変更をテストしてください。デフォルトの隠し共有は次のとおりです。

共有:

C $ D $ E $

パスと機能:

各パーティションのルート。AdministratorsまたはBackup Operatorsグループのメンバーのみがこれらの共有フォルダーに接続できます。 Windows 2000 Serverコンピュータの場合、Server Operatorsグループのメンバーもこれらの共有フォルダに接続できます。

それでも、これを行うことはお勧めできません。ドメイン管理者がアクセスできる必要があるものへのアクセスを禁止しています。家主が入らないように、アパートの鍵を変更するのと同じです。

4
TheCleaner

TrueCryptのようなサードパーティの暗号化ユーティリティで暗号化ボリュームを使用します。

これは、管理者が本来持つべきでないデータにアクセスできないようにする唯一の方法です。正直な管理者には十分ですが、キーロガーをインストールしたり、リモートアクセスツールを使用してボリュームがロックされていない状態でボリュームコンテンツを表示したりできる悪意のある管理者には十分ではありません。

管理者をデータからロックアウトする理由について不思議に思う人は、デフォルトでは、財務データ、個人の従業員の詳細、研究データなど、管理者があらゆる種類の機密データにアクセスできるのは単に悪い習慣です。彼らはすべきではない。

IT管​​理者の仕事の一部は、単一の管理者アカウントが危険にさらされて侵入者がすべての会社のデータへの完全なアクセス権を持つことにつながらないようにすることです。

2
Eric Grange

誰について、そしてなぜ特定の情報がネットワーク上のコンピューターでアクセスされるべきなのか、そしてなぜこの特定の情報がネットワーク化されたコンピューター上で最初に必要なのかについて書かれた会社の方針はありますか?これがこのオフィスのみのデータである場合は、追加のラップトップの予算を立てるか、実際のオフィスでのみアクセスできる古い「オフライン」コンピュータを使用してみませんか?金庫の中のラップトップは簡単に盗まれたり、アクセスされたりすることはありません。火災、洪水、竜巻、中国、インドなどのハッカーなど。必要な場合にのみ接続してください。

2
Wally