windowsには管理共有という機能がある。
隠し共有とも呼ばれ、windowsをインストールすると標準で有効になっている(!)。
これはその名の通り、ネットワーク上に大っぴらに公開せずに、その存在を知る人にだけアクセスさせたい場合に使うようだ。使い方は簡単で、例えばフォルダ「hoge」を管理共有にしたい場合、最後に”$”を付けて「hoge$」にしてアクセスするだけ。
「\\<フォルダのあるPC>\hoge$」のような感じ。
問題はこのデフォルト隠し共有公開がすべてのドライブ(C$やD$)とシステムルート(Admin$(=C:\Windowsのことのようだ))を対象にしている点だ。
Cドライブの各フォルダや各ユーザのマイドキュメント、デスクトップなどを標準で公開しているのだから恐ろしい。
用途としては名前からして、システム管理者が各クライアントの状況を見られるように設定されているもののようだが、情報セキュリティや不正アクセスが叫ばれる昨今、こんな仕様は害悪でしかないだろう。
標的型攻撃やランサムウェアのラテラルムーブメントなんかは結局これがために、簡単に拡大しているのではないか。
一応リモートUAC(あの一々出てくる確認画面だ)で防げるケースもあるようだがローカルユーザのみで、ドメインユーザは通ってしまう。(社内のテスト機で試したら確かに何の確認も出なかった)
リモートUAC参考:https://www.shutingrz.com/post/ad_remote-uac/
そんなわけで、こんな危険な機能はさっさと無効にしたい。
確認方法
まずは現状を確認する。
コマンドプロンプトで「net share」を実行する。
おそらくこんな結果になったと思う。
ここにあるC$とADMIN$が削除したい共有だ。
なければ特に管理共有がないので、特に何もする必要はない。
因みにIPC$はここに出てきているが管理共有ではないので触らない方がよい。
参考:https://www.atmarkit.co.jp/ait/articles/0304/26/news003.html
ADのグループポリシー設定
上記の管理共有を単に削除しても再起動すると戻ってくるので、
レジストリの設定を変える必要がある。
ローカルでの設定方法は検索するとよく出てくるが、
ADのグループポリシーでの設定方法が中々見つからなかったので、記録しておく。
(以下、レジストリをいじるので危険を伴います。試す際は自己責任で)
1.グループポリシーエディタでコンピュータの構成>基本設定>Windowsの設定>レジストリ を選択
2.画像では既に値が存在しているが、初回は何もないはず。
空白の所で右クリック>新規作成>レジストリ項目
3.下記の画像のようにキーのパス、値の名前、値のデータを設定。
これは次の設定を意味する。
キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:AutoShareWks ※サーバの場合はutoShareServerにする
値の種類:REG_DWORD
値:0(10進数)
ちな、個別のPCで設定する場合は、この設定を各PCのレジストリに設定すればOK。
4.設定したGPOを対象のグループに適用
適用したPCでの確認
上記の設定が適用されたPCはレジストリに上記の値が作成され、有効になるのだが、一度再起動しないと管理共有は無効にならない。
これは一度目でレジストリ値が作成され、その設定が有効になるための再起動が必要だからだ。
管理共有の設定はログイン時に設定されるので。
まあ、面倒なこと言わず、最初の「nat share」を試して、
管理共有が消えていなければ再起動すれば大丈夫だろう。
繰り返すが、レジストリの変更はパソコンが起動しなくなるなどのリスクがあるので、自信がなかったり、上記の意味が分からない場合は止めておいたほうがよいだろう。
また、グループポリシーでいきなり多数にばら撒くと何かあった時にひどいことになるので、
必ずテスト環境で試してから適用しよう。言わずもがなだが。
さて、これでとりあえず安心かと思ったのだが、
自分のパソコンの共有を見ていて、覚えのない共有に気づいた。
これについては稿を改めよう。
コメント