41 votes

Problème de sécurité avec mon ordinateur Windows 7 au travail

Cette question peut sembler étrange et mal formulée, mais je ne suis pas du tout un expert en Windows, donc n'hésitez pas à me corriger.

Le groupe dans lequel je travaille a récemment reçu de nouveaux ordinateurs. Ils m'ont donné un nouvel ordinateur et ont connecté mon ancien ordinateur au réseau pendant une semaine pour que je puisse prendre mon temps pour transférer les fichiers/configurations nécessaires, etc. Le gars du support m'a dit : "Il suffit d'aller dans 'Exécuter' et de taper \\NOMDUPC\c$. Donc, je l'ai fait et, ô surprise, voilà mon ancien lecteur C:. Je me suis dit : "Quel énorme problème de sécurité. Je vais juste transférer tout rapidement et ensuite annuler le partage".

La fin de la journée est arrivée et je me suis connecté en bureau à distance et j'ai fait un clic droit sur le lecteur C. Mais il n'était pas partagé. J'ai appelé le gars du support et lui ai expliqué que je ne voulais pas que mon lecteur C soit disponible pour tout le monde sur le réseau tout le weekend. Il semblait perplexe. Il a dit : "Ce n'est pas vraiment 'partagé'. Si vous allez à l'invite de commandes et tapez \\NOMDESPC\c$, vous obtenez leur lecteur C. C'est juste comme ça que ça marche".

J'ai raccroché et je suis allé au bureau d'un collègue pour regarder le nom de son PC (il y a une étiquette sur chaque ordinateur), puis je suis retourné à mon bureau et j'ai mis un fichier hello sur son bureau.

Je ne garde rien de personnel sur mon ordinateur professionnel, mais il y a des préoccupations sérieuses en matière de sécurité. Pas vraiment de la part du groupe dans lequel je suis, mais de la part des centaines d'autres employés sur le réseau (et le domaine) que je ne connais pas. Je suis bien pour les blagues, mais que se passerait-il si quelqu'un avait une rancœur inconnue contre moi (ou contre quelqu'un avec un nom ou un nom d'ordinateur similaire) et ajoutait des propos offensants contre mon chef à des documents qui font partie d'un projet ?

Cela fait-il partie intégrante du fonctionnement des domaines Windows ? Y a-t-il des mesures que je peux prendre pour rendre ma boîte un peu plus sécurisée ? Gardez à l'esprit que j'ai des droits d'administration sur la boîte, mais je ne peux rien changer en ce qui concerne le réseau ou le domaine. Même juste une explication de ce qui se passe serait d'une grande aide, car cela va à l'encontre de tout ce que je sais être "assez basique" sur les systèmes informatiques en général. Je suis plus familier avec Linux, donc le monde Windows m'est un peu étranger.

Suite

J'ai exprimé mes inquiétudes à ce sujet au travail. On m'a dit : "Personne ne connaît cette histoire de drive$, donc il n'y a pas de souci à se faire." J'ai suivi la solution de Darth et ajouté cette clé de registre. Maintenant, je vais attendre de voir si quelqu'un est alerté.

38voto

Darth Android Points 36975

Ce que vous voyez est l'un des partages administratifs qui est activé sur chaque machine Windows pour tous les lecteurs non amovibles comme \\nomordinateur\lettrededisque$. Cependant, il ne devrait être accessible qu'à quelqu'un qui est dans le groupe Administrateurs local (il semble que le groupe Administrateurs de domaine ou Utilisateurs de domaine ait été ajouté au groupe Administrateurs local).

Le triste fait de la vie est que vous ne pouvez pas vraiment les désactiver complètement sans perdre quelque chose d'autre en retour (vous pouvez désactiver le partage de fichiers, par exemple, mais alors vous ne pouvez pas partager de fichiers...). Comme ce sont des partages cachés (comme indiqué par le $ à la fin), vous ne pouvez pas les voir en parcourant \\nomordinateur, mais ils s'afficheront si vous tapez net share dans une invite de commandes.

Les désactiver ne devrait pas être votre premier choix si le technicien de support est prêt à écouter un peu de raison - Demandez-lui de restreindre les autorisations que les utilisateurs réguliers ont sur les ordinateurs via le réseau afin qu'ils ne puissent pas toucher aux fichiers des autres, ou voyez s'il veut déplacer les profils d'utilisateurs et les documents vers un partage de fichiers sur un serveur (la meilleure, mais beaucoup plus compliquée, solution).

S'il ne peut pas ou ne veut pas résoudre ce problème, vous pouvez les désactiver temporairement en tapant net share c$ /delete, mais Windows les recréera à chaque redémarrage de l'ordinateur. Vous pourriez peut-être intégrer ces commandes dans un fichier batch qui s'exécute au démarrage.

Si vous souhaitez vraiment sécuriser votre ordinateur, il existe également des partages cachés appelés admin$ et IPC$ qui pourraient révéler beaucoup d'informations sur votre ordinateur et ses fichiers à quelqu'un sur le réseau que vous pouvez désactiver.

Comme indiqué dans d'autres réponses, il peut y avoir des programmes qui dépendent de ces partages pour être disponibles, et cela pourrait attirer l'attention du technicien de support s'il essaie d'utiliser l'un des partages administratifs pour aider à maintenir votre système et ne peut pas y accéder.

Édition :

Il semble que vous pouvez désactiver les partages de partition racine (c$, d$, etc.) avec la clé de registre suivante (créez-la si elle n'existe pas) :

Ruche : HKEY_LOCAL_MACHINE
Clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Nom : AutoShareWks
Type de données : REG_DWORD
Valeur : 0

Cela ne désactivera pas le partage IPC$, cependant.

16voto

music2myear Points 38573

Votre compte utilisateur est probablement configuré en tant qu'Administrateur sur tous les PC du réseau. Il peut y avoir différentes raisons à cela, la plupart d'entre elles n'étant pas les meilleures.

Chaque ordinateur sur un domaine partage chaque lecteur avec ce qu'on appelle un partage administratif. Ce partage est toujours la lettre du lecteur suivie de $. Comme vous l'avez vu : C$. Il est toujours disponible pour tous les utilisateurs dont les comptes sont administrateurs sur cet ordinateur. Il y a de bonnes raisons à cela. La plupart des programmes de patching l'utilisent, tout comme de nombreux programmes de sécurité. De plus, les SupportGuys comme moi l'utilisent pour transférer des fichiers vers et depuis les ordinateurs pour des réparations, des diagnostics, des dépannages et une assistance aux utilisateurs, pour n'en citer que quelques-uns.

En général, vous ne voulez pas supprimer un partage administratif à moins d'être sûr qu'il n'y a aucun programme nécessaire sur votre réseau qui en a besoin. Par exemple : Le SupportGuy peut avoir besoin d'utiliser ce partage pour déployer des mises à jour critiques sur votre ordinateur.

Le problème survient lorsque tous les comptes d'utilisateurs réguliers sur le réseau sont des administrateurs. C'est le problème et c'est ce qui devrait être traité dans votre bureau. Vous devriez être des utilisateurs ou des utilisateurs avancés, en fonction des autorisations nécessaires. Avec des cas particuliers accordés aux personnes qui ont réellement besoin de droits administratifs.

ACTUALISATION En réponse aux autres réponses : Je recommanderais vivement de ne pas désactiver le partage administratif à moins de savoir vraiment qu'il n'y a pas de systèmes nécessitant cela. La première démarche à entreprendre devrait être de comprendre pourquoi votre compte a des autorisations d'administrateur de domaine et si c'est vraiment nécessaire. Faire cela permettra de résoudre les problèmes de sécurité dans tout le réseau, pas seulement un petit problème symptomatique que vous avez découvert ici. S'il n'y a pas de raison légitime pour que vous ayez des droits d'administrateur de domaine et que le SupportGuy refuse de retirer ces droits, vous devriez envisager de supprimer le partage administratif.

11voto

KCotreau Points 25345

Le C$ est le partage administratif. Vous ne devriez probablement pas le désactiver, car cela pourrait causer des problèmes.

Le véritable problème de sécurité ici est qu'il semble qu'ils ont rendu tout le monde administrateur sur chaque machine (peut-être en ajoutant les utilisateurs du domaine au groupe des administrateurs locaux).

De certaines manières, cela ne devrait pas poser de problème puisque, personnellement, je ne crois pas qu'il devrait y avoir du contenu stocké localement en premier lieu, et que "Mes documents" devraient être redirigés vers votre lecteur réseau personnel sur le serveur, auquel ils n'auraient pas accès à moins qu'il y ait une faille de sécurité encore plus grande.

2voto

itchi Points 132

Comme tout le monde l'a dit, driveletter$ est un fait de la vie sous Windows.

Mais pourquoi êtes-vous administrateur sur l'ordinateur de vos collègues ? Et.. confirmerez-vous s'il est administrateur sur votre ordinateur ? C'est le vrai problème ici.

Même si vous supprimez le partage administratif, rien n'empêche les gens de se connecter à votre ordinateur et d'accéder à vos fichiers car ils sont administrateurs sur votre machine. Le partage n'est qu'un moyen pratique de contourner la connexion.

Étant donné que vous êtes administrateur sur votre machine, je vous recommande de jeter un œil au groupe administratif, de vous ajouter explicitement, puis de supprimer probablement le groupe des utilisateurs du domaine qui y est.

1voto

Moab Points 56700

Clic droit sur "Ordinateur" (Menu Démarrer)

Sélectionnez "Gérer"

Développez "Dossiers partagés"

cliquez sur "Partages"

dans le volet de droite, vous verrez tous les partages sur cet ordinateur, ceux avec $ sont des partages masqués, vous pouvez cliquer droit sur C$ et sélectionner "arrêter le partage"

Comme le suggère Darth, le partage sera recréé au redémarrage.

Vous pouvez le désactiver dans le registre mais je ne pense pas que votre entreprise apprécierait cela.

Vous pouvez également désactiver le partage de fichiers dans le pare-feu Windows, mais cela tuera tous les partages de fichiers.

.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X