none
Negar acesso ao compartilhamento administrativo RRS feed

  • Pergunta

  • Galera,

    Precisaria negar o acesso ao C$ das máquinas da rede somente para um grupo de usuários, alguem ja fez ou sabe como?


    by Dimiro se útil, classifique! ;)
    sexta-feira, 25 de junho de 2010 13:31

Respostas

  • Olá Claudio,

    Você pode impedir o acesso de usuários a estes compartilhamentos administrativos removendo-os. Pode-se remover estes compartilhamentos manualmente (temporário), por GPO e por alteração do registro. Acredito que para o seu ambiente o mais indicado seja a remoção ou pelo registro, ou por GPO. Vou te mostrar a solução do registro.

    Crie um arquivo no bloco de notas com extensão .reg com o seguinte conteúdo:


    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=dword:0
    "AutoShareServer"=dword:0

    ;AutoPatcher Detection
    [HKEY_LOCAL_MACHINE\Software\AutoPatcher\Tweaks\Security]
    "disableadminshares"="20041229"



    Execute este arquivo, e confirme a alteração no registro. Isso fará com que o(s) compartilhamento(s) administrativo(s) C$ (Unidade$) sejam interrompidos permanentemente. Para desfazer esse tweak, utilize o seguinte código (dentro de um arquivo .reg, como o anterior):


    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=-

    [HKEY_LOCAL_MACHINE\Software\AutoPatcher\Tweaks\Security]
    "disableadminshares"=-



    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.


    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas sexta-feira, 25 de junho de 2010 20:35
    • Marcado como Resposta Cláudio Luiz Almeida segunda-feira, 28 de junho de 2010 10:06
    sexta-feira, 25 de junho de 2010 20:35

Todas as Respostas

  • Olá Cláudio,

    Apenas usuário que têm privilégios administrativos em uma estação pode acessar o compartilhamento C$.

    Supondo que seu disco utilize o sistema de arquivos NTFS, simplesmente abra a guia Segurança (Security) do drive em questão e adicione ou remova os grupos ou usuários, e aplique suas permissões.

    Caso tenha dúvidas com o permissionamento NTFS, leia os seguintes artigos do Technet Library:

    http://technet.microsoft.com/pt-br/library/cc716477.aspx
    http://technet.microsoft.com/pt-br/library/cc716478.aspx
    http://technet.microsoft.com/pt-br/library/cc716479.aspx
    http://technet.microsoft.com/pt-br/library/cc716480.aspx
    http://technet.microsoft.com/pt-br/library/cc716491.aspx



    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.


    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    sexta-feira, 25 de junho de 2010 14:09
  • Mas ai que tá, esse grupo de usuários são administradores da maquina e nao posso negar o acesso a todo C:

    Só não queria que conseguissem acesso pela rede no \\maquina\c$


    by Dimiro se útil, classifique! ;)
    sexta-feira, 25 de junho de 2010 15:59
  • Boa tarde Cláudio!

    Sinceramente não sei como te ajudar, pois os usuários são administradores da própria estação.

    O que pode ser feito é criar um .bat  e digitar o seguinte conteudo:

    @echo off

    net share c$ /delete

    E colocar na inicialização das máquinas, assim quando o usuário ligar vai remover o compartilhamento administrativo, o único problema é que nem o administrador vai ter acesso.

    Obs: É uma grande falha de segurança deixar os usuários como administradores.

     

    sexta-feira, 25 de junho de 2010 16:48
  • Olá Claudio,

    Você pode impedir o acesso de usuários a estes compartilhamentos administrativos removendo-os. Pode-se remover estes compartilhamentos manualmente (temporário), por GPO e por alteração do registro. Acredito que para o seu ambiente o mais indicado seja a remoção ou pelo registro, ou por GPO. Vou te mostrar a solução do registro.

    Crie um arquivo no bloco de notas com extensão .reg com o seguinte conteúdo:


    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=dword:0
    "AutoShareServer"=dword:0

    ;AutoPatcher Detection
    [HKEY_LOCAL_MACHINE\Software\AutoPatcher\Tweaks\Security]
    "disableadminshares"="20041229"



    Execute este arquivo, e confirme a alteração no registro. Isso fará com que o(s) compartilhamento(s) administrativo(s) C$ (Unidade$) sejam interrompidos permanentemente. Para desfazer esse tweak, utilize o seguinte código (dentro de um arquivo .reg, como o anterior):


    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "AutoShareWks"=-

    [HKEY_LOCAL_MACHINE\Software\AutoPatcher\Tweaks\Security]
    "disableadminshares"=-



    Caso a reposta tenha resolvido seu problema, por favor marque esse post como "Resposta" para que esse Thread se encerre. E se lhe foi útil também marque como "Votar como Útil". Caso não tenha resolvido, sinta-se a vontade para fazer novas perguntas.

    Espero ter ajudado.


    Atenciosamente,

    Caio Vilas Boas
    Microsoft Certified Trainer
    www.caiovilas.com
    - Blog
    • Sugerido como Resposta Caio Vilas sexta-feira, 25 de junho de 2010 20:35
    • Marcado como Resposta Cláudio Luiz Almeida segunda-feira, 28 de junho de 2010 10:06
    sexta-feira, 25 de junho de 2010 20:35
  • Boa tarde Cláudio!

    Sinceramente não sei como te ajudar, pois os usuários são administradores da própria estação.

    O que pode ser feito é criar um .bat  e digitar o seguinte conteudo:

    @echo off

    net share c$ /delete

    E colocar na inicialização das máquinas, assim quando o usuário ligar vai remover o compartilhamento administrativo, o único problema é que nem o administrador vai ter acesso.

    Obs: É uma grande falha de segurança deixar os usuários como administradores.

     


    Klebinho,

    Não foi uma malha pois estes são os unicos usuarios adm, pois são justamente os analistas de help desk. O problema é que eles não estão sabendo utilizar os mapeamentos corretos.


    by Dimiro se útil, classifique! ;)
    segunda-feira, 28 de junho de 2010 10:05
  • Caio,

    Valeu, não tinha pensando nesta forma. Isolei as máquinas deles e criei uma gpo aplicando este script.


    by Dimiro se útil, classifique! ;)
    segunda-feira, 28 de junho de 2010 10:06