Административные общие ресурсы (шары) используются в Windows для удаленного доступа и управления компьютером. Если открыть консоль управления компьютером (
compmgmt.msc
), развернуть секцию System Tools -> Shared Folders -> Share (Общие папки -> Общие ресурсы) или выполнить команду
net share
, вы увидите список административных общих папок (эти папки скрыты в сетевом окружении и доступ к ним ограничен).
По-умолчанию Windows создает следующие админ шары:
-
Admin$
— Remote admin (это каталог %SystemRoot%) -
IPC$
— Remote IPC (используется в named pipes) -
C$
— Default Share
Если на компьютере имеются другие разделы, которым назначена буква диска, они также автоматически публикуются в виде административных шар (
D$
,
E$
и т.д.). Если вы предоставляете общий доступ к принтеру, то должна быть шара
Print$
или
FAX$
— при использовании факс-сервера.
Обратите внимание, что имена общих административных шар заканчиваются знаком $. Этот знак заставляет службу LanmanServer скрывать данные SMB ресурсы при доступе по сети (конкретные файлы и папки в общем сетевом каталоге можно скрыть с помощью Access-Based Enumeration). Если вы попытаетесь в проводнике отобразить список доступных на компьютере сетевых папок (
\computername
), вы не увидите их в списке доступных общих SMB каталогов.
Можно получить список доступных административных шар на удаленном компьютере с помощью команды:
net view \computername /all
В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.
Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Например,
\computernamec$
. Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.
Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.
Содержание:
- Как отключить/включить административные шары в Windows 10?
- Разрешаем удаленный доступ к административным шарам Windows 10
Как отключить/включить административные шары в Windows 10?
Административные шары Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности (Как минимум не стоит использовать одинаковый пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.
Самый простой способ – щелкнуть правой кнопкой мыши по имени административного ресурса в оснастке управления компьютером и выбрать Stop sharing (или использовать команду
net share IPC$ /delete
). Однако после перезагрузки Windows она пересоздастся автоматически.
Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLMSystemCurrentControlSetServicesLanmanServerParameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0.
Можно создать это параметр реестра вручную, из командной строки reg add или через PowerShell:
reg add HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters /f /v AutoShareWks /t REG_DWORD /d 0
или
New-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Type DWORD -Value 0
Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.
Если вы хотите включить админские шары, нужно изменить значение параметра на 1 или удалить его.
Set-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Value 1
Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:
Get-service LanmanServer | restart-service
Разрешаем удаленный доступ к административным шарам Windows 10
При работе с административными шарами Windows на компьютере, который по умолчанию она отключена) такой доступ работает.
Немного подробнее как выглядит проблема. Я пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном файерволе) таким образом:
-
win10_pcC$ -
\win10_pcIPC$ -
\win10_pcAdmin$
В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально (компьютер виден в сетевом окружении). Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.
Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ под такими учеткам. При доступе под доменным аккаунтом такое ограничение не применяется.
Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy
Совет. Эта операция несколько снижает уровень безопасности Windows.
- Откройте редактор реестра (regedit.exe);
- Перейдите в ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem ;
- Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
- Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
- Для применения изменений потребуется перезагрузить компьютер
Примечание. Создать параметр LocalAccountTokenFilterPolicy можно всего одной командой
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После перезагрузки попробуйте удаленно открыть административный каталог C$ на Windows 10 компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:.
Примечание. После этого станет доступен и другой функционал удаленного управления Windows 10. В том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управление компьютером) и другими стандартными консолями.
Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Инструкция применима также к Windows 8.1, 7 и Windows Server.
Удаление административных шар в Windows
Общие файловые ресурсы или шары (shares) предназначены для того, чтобы предоставлять пользователям удаленный доступ к файлам. Большинство пользователей считает, что для предоставления доступа к своим файлам их необходимо предварительно ″расшарить″, однако это не совсем так.
Для того, чтобы посмотреть список уже имеющихся на компьютере шар, надо набрать Win+R и выполнить команду compmgmt.msc, затем в оснастке Управление компьютером (Computer Management) перейти в раздел Общие папкиОбщие ресурсы (Shared foldersShares). По умолчанию в любой ОС Windows присутствуют такие шары как ADMIN$ (C:Windows), С$ (C:), E$ (E:), F$ (F:) и так далее по количеству дисков в системе.
Это так называемые административные шары, доступ к которым имеют только члены группы локальных администраторов на компьютере. Будучи администратором (или зная его пароль) достаточно набрать в проводнике что-то типа \«имя компьютера»C$ и можно получить неограниченный доступ к файловой системе на удаленном компьютере.
Административные ресурсы очень удобны в плане администрирования, но с точки зрения безопасности являются дополнительной ″дырой″. Если вы серьезно относитесь к защите своих данных, то доступ к ним желательно отключить. Однако если просто удалить шару из оснастки управления компьютером, то после перезагрузки все вернется обратно.
Чтобы этого не произошло, необходимо открыть редактор реестра и перейти в раздел HKLMSystemCurrentControlSetServicesLanmanServerParameters. Для полного отключения административных шар надо добавить параметр типа DWORD с именем AutoShareWks и значением 0 (для рабочей станции) или параметр типа DWORD с именем AutoShareServer и значением 0 (для серверной ОС).
Также настройку можно произвести с помощью PowerShell, например:
New-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Type DWORD -Value 0
Теперь после перезагрузки административные шары больше не появятся. Для их включения надо задать параметру AutoShareWksAutoShareServer значение 1 либо удалить его из реестра.
Содержание
- Управление административными шарами (Admin$, IPC$, C$, D$) в Windows 10
- Как отключить/включить административные шары в Windows 10?
- Разрешаем удаленный доступ к административным шарам Windows 10
- Управление административными общими ресурсами (админ-шарами) в Windows
- Что есть «админ-шара» и с чем её едят?
- Как прекратить общий доступ к админ-шарам
- Как вернуть автоматическое создание и восстановить стандартные админ-шары
- «Отказано в доступе» или «Access is denied» при попытке входа в админ-шару
- Отключить админские шары windows 10
- Отключить админские шары windows 10
- Лучший отвечающий
- Вопрос
- Ответы
- Удаление административных шар в Windows
Управление административными шарами (Admin$, IPC$, C$, D$) в Windows 10
По-умолчанию Windows создает следующие админ шары:
Можно получить список доступных административных шар на удаленном компьютере с помощью команды:
net view \computername /all
Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.
Как отключить/включить административные шары в Windows 10?
Административные шары Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности (Как минимум не стоит использовать одинаковый пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.
Самый простой способ – щелкнуть правой кнопкой мыши по имени административного ресурса в оснастке управления компьютером и выбрать Stop sharing (или использовать команду net share IPC$ /delete ). Однако после перезагрузки Windows она пересоздастся автоматически.
Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLMSystemCurrentControlSetServicesLanmanServerParameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением .
Можно создать это параметр реестра вручную, из командной строки reg add или через PowerShell:
reg add HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters /f /v AutoShareWks /t REG_DWORD /d 0
Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.
Если вы хотите включить админские шары, нужно изменить значение параметра на 1 или удалить его.
Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:
Разрешаем удаленный доступ к административным шарам Windows 10
При работе с административными шарами Windows на компьютере, который не добавлен в домен Active Directory (состоит в рабочей группе) есть одна важная особенность. Windows 10 блокирует удаленный доступ к дефолтным административным шарам под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.
Немного подробнее как выглядит проблема. Я пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном файерволе) таким образом:
В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально (компьютер виден в сетевом окружении). Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.
Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ под такими учеткам. При доступе под доменным аккаунтом такое ограничение не применяется.
Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy
reg add «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem» /v «LocalAccountTokenFilterPolicy» /t REG_DWORD /d 1 /f
После перезагрузки попробуйте удаленно открыть административный каталог C$ на Windows 10 компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:.
Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Инструкция применима также к Windows 8.1, 7 и Windows Server.
Источник
Управление административными общими ресурсами (админ-шарами) в Windows
Разберёмся, что такое административные сетевые ресурсы (админ-шары), для чего они нужны, как их включать/отключать и удалять, и что делать с ошибкой «Отказано в доступе» (Access is denied) при входе в админ-шару.
Что есть «админ-шара» и с чем её едят?
Общие сетевые ресурсы («шары», от англ. «share» – «делиться») используются для получения доступа к ресурсам на другом компьютере с использованием сетевого подключения.
Например: к компьютеру А по USB подключен принтер, не умеющий работать по сети. При этом, поблизости находится компьютер Б, которому так же необходимо печатать документы на данный принтер. Проще всего это сделать, «расшарив» принтер в сеть, и с компьютера Б отправлять задание печати на компьютер А, а с компьютера А это задание будет автоматически перебрасываться на принтер. В данном случае этот принтер будет называться расшаренным (shared printer).
То же самое можно выполнить с папками: дать доступ на чтение/запись из/в них по сети, и любой (или определённый) пользователь сможет подключиться к компьютеру, выполняющему роль файлового сервера, прочитать, скопировать или записать документы в расшаренную сетевую папку.
Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.
По-умолчанию Windows создаёт следующие админ-шары:
Просмотреть активные шары можно двумя способами:
Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \имя_компьютера /all 
Для доступа к админ-шаре необходимо соблюдение следующих условий:
При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.
В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи. 
Как прекратить общий доступ к админ-шарам
Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.
Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.
Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.
Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.
Как вернуть автоматическое создание и восстановить стандартные админ-шары
Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters изменить значение параметра AutoShareWks или AutoShareAuto на 1 или вовсе удалить этот параметр.
Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:
После произведённых манипуляций, стандартные админ-шары должны быть созданы.
«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару
Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.
В некоторых случаях требуется перезагрузить компьютер для применения изменений.
Это же действие можно выполнить с помощью команды CMD/PS:
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v «LocalAccountTokenFilterPolicy» /t REG_DWORD /d 1 /f
После проведённых манипуляций, доступ к админ-шарам должен появиться.
Источник
Отключить админские шары windows 10
Сообщения: 166
Благодарности: 23
Запускаешь Regedit и по ветке [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
создаешь такой DWORD-параметр (если его еще нет, вроде как должен быть изначально):
«AutoShareWks», и присваиваешь ему значение «0», после чего перезагрузка.
P.S. IPC$ выключить нельзя
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.
Сообщения: 36075
Благодарности: 6523
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″> » width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Сообщения: 1
Благодарности:
Сообщения: 25157
Благодарности: 3792
Читайте также: heic to jpeg linux
Сообщения: 4
Благодарности:
Сообщения: 12426
Благодарности: 2328
Отключить админские шары windows 10
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ситуация: есть домен, есть сервер под 2008R2 на котором храниться достаточно важная инфа.
Используя удаленное управление АД можно создать на этом сервере нового пользователя, в т.ч. локального админа.
Нужно эту возможность убрать.
Насколько я понимаю для этого достаточно отключить скрытые общие ресурсы (C$, ADMIN$, IPC$ )
Отключал их через net share C$ (Admin$, IPC$) /delete, после удаления удаленно управлять сервером невозможно, что и требуется.
Но после перезагрузки эти шары появляются снова.
Как их отключить навсегда?
Какие проблемы потенциально могут вылезти после их отключения?
Ответы
Не надо отключать стандартные шары, не надо курочить систему, тем более что на ней находится важная информация!
Для защиты системы существуют фаэрвол и политики безопасности. С их помощью можно привести систему практически к любому уровню безопасности.
Источник
Удаление административных шар в Windows
Общие файловые ресурсы или шары (shares) предназначены для того, чтобы предоставлять пользователям удаленный доступ к файлам. Большинство пользователей считает, что для предоставления доступа к своим файлам их необходимо предварительно ″расшарить″, однако это не совсем так.
Для того, чтобы посмотреть список уже имеющихся на компьютере шар, надо набрать Win+R и выполнить команду compmgmt.msc, затем в оснастке Управление компьютером (Computer Management) перейти в раздел Общие папкиОбщие ресурсы (Shared foldersShares). По умолчанию в любой ОС Windows присутствуют такие шары как ADMIN$ (C:Windows), С$ (C:), E$ (E:), F$ (F:) и так далее по количеству дисков в системе.
Это так называемые административные шары, доступ к которым имеют только члены группы локальных администраторов на компьютере. Будучи администратором (или зная его пароль) достаточно набрать в проводнике что-то типа \«имя компьютера»C$ и можно получить неограниченный доступ к файловой системе на удаленном компьютере.
Административные ресурсы очень удобны в плане администрирования, но с точки зрения безопасности являются дополнительной ″дырой″. Если вы серьезно относитесь к защите своих данных, то доступ к ним желательно отключить. Однако если просто удалить шару из оснастки управления компьютером, то после перезагрузки все вернется обратно.
Чтобы этого не произошло, необходимо открыть редактор реестра и перейти в раздел HKLMSystemCurrentControlSetServicesLanmanServerParameters. Для полного отключения административных шар надо добавить параметр типа DWORD с именем AutoShareWks и значением 0 (для рабочей станции) или параметр типа DWORD с именем AutoShareServer и значением 0 (для серверной ОС).
Также настройку можно произвести с помощью PowerShell, например:
Теперь после перезагрузки административные шары больше не появятся. Для их включения надо задать параметру AutoShareWksAutoShareServer значение 1 либо удалить его из реестра.
Источник
Adblock
detector
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Разберёмся, что такое административные сетевые ресурсы (админ-шары), для чего они нужны, как их включать/отключать и удалять, и что делать с ошибкой «Отказано в доступе» (Access is denied) при входе в админ-шару.
Что есть «админ-шара» и с чем её едят?
Общие сетевые ресурсы («шары», от англ. «share» – «делиться») используются для получения доступа к ресурсам на другом компьютере с использованием сетевого подключения.
Например: к компьютеру А по USB подключен принтер, не умеющий работать по сети. При этом, поблизости находится компьютер Б, которому так же необходимо печатать документы на данный принтер. Проще всего это сделать, «расшарив» принтер в сеть, и с компьютера Б отправлять задание печати на компьютер А, а с компьютера А это задание будет автоматически перебрасываться на принтер. В данном случае этот принтер будет называться расшаренным (shared printer).
То же самое можно выполнить с папками: дать доступ на чтение/запись из/в них по сети, и любой (или определённый) пользователь сможет подключиться к компьютеру, выполняющему роль файлового сервера, прочитать, скопировать или записать документы в расшаренную сетевую папку.
Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.
По-умолчанию Windows создаёт следующие админ-шары:
Admin$– расшаренный каталог%SystemRoot%(обычно – C:Windows)IPC$– Remote IPC (используется для сервисов «Удалённый реестр» (RRC), psexec и пр.)C$– расшаренный раздел дискаC:. В случае, если на компьютере имеются другие разделы, которым назначены буквы диска, под них так же будут созданы админ-шары (D$,E$и т.д.)
Помимо этого, в случае включения общего доступа к любому принтеру – будет создана шара Print$, а в случае включения факс-сервера – FAX$.
Просмотреть активные шары можно двумя способами:
Как можно заметить, все админ-шары имеют на конце имени символ доллара – $. С помощью этого символа служба LanmanServer скрывает шару при SMB доступе, из-за чего админ-шары не отображаются, например, при входе на сетевой ресурс из стандартного «Проводника» Windows. Однако стоит упомянуть, что в большинстве сторонних файловых менеджеров, предусмотрен функционал, позволяющий показывать админ-шары на удалённых устройствах.
Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \имя_компьютера /all
Доступ к админ-шарам, как и к любым сетевым ресурсам, происходит по пути: \имя_компьютераимя_шары.
Для доступа к админ-шаре необходимо соблюдение следующих условий:
При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.
В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи.
Как прекратить общий доступ к админ-шарам
Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.
Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.
- Через CMD/PowerShell:
net share имя_шары /delete, например:net share ADMIN$ /delete - Через Управление компьютером:
Управление компьютером – Служебные программы – Общие папки – Общие ресурсы – ПКМ по ресурсу – Прекратить общий доступ (Computer Management – System Tools – Shared Folders – Shares – ПКМ – Stop Sharing):
Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.
Для того, чтобы этого не происходило, необходимо внести изменения в реестр, в ветку HKLMSystemCurrentControlSetServicesLanmanServerParameters.
Изменяем или создаём DWORD32 параметр AutoShareWks (для Windows Desktop) или AutoShareServer (для Windows Server) и присваиваем ему значение 0.
Сделать это можно:
- С помощью редактора реестра (regedit) в графической среде
- Через CMD:
Desktop:reg add HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters /v AutoShareWks /t REG_DWORD /d 0 /f
Server:reg add HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters /v AutoShareServer /t REG_DWORD /d 0 /f - Через PowerShell:
Desktop:New-ItemProperty -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Name AutoShareWks -Type DWORD -Value 0
Server:New-ItemProperty -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Name AutoShareServer -Type DWORD -Value 0
Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.
Как вернуть автоматическое создание и восстановить стандартные админ-шары
Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters изменить значение параметра AutoShareWks или AutoShareAuto на 1 или вовсе удалить этот параметр.
Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:
- CMD:
sc stop LanmanServer & ping -n 10 0.0.0.0 > nul & sc start LanmanServer - PowerShell:
Restart-Service LanmanServer - Управление компьютером:
Управление компьютером – Службы и приложения – Службы – Служба «Сервер» – Перезапустить (Computer Management – Services and Applications – Services – «Server» – Restart)
После произведённых манипуляций, стандартные админ-шары должны быть созданы.
«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару
Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.
Для этого в ветке: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
Создайте параметр типа DWORD32 с именем LocalAccountTokenFilterPolicy и задайте ему значение 1.
В некоторых случаях требуется перезагрузить компьютер для применения изменений.
Это же действие можно выполнить с помощью команды CMD/PS:
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После проведённых манипуляций, доступ к админ-шарам должен появиться.
Административные общие ресурсы (общие ресурсы) используются в Windows для удаленного доступа и управления компьютером. Если вы откроете Консоль управления компьютером (
compmgmt.msc
), развернете Системные инструменты -> Общие папки -> Раздел «Общий доступ» или запустите команду
net share
, вы увидите список административных общих папок (эти папки скрыты в Моей сети и доступ к ним ограничен).
По умолчанию Windows создает следующие области администрирования:
-
Admin$– Удаленный администратор (это каталог% SystemRoot%)
-
IPC$– удаленный IPC (используется в именованных каналах)
-
C$– Совместное использование по умолчанию
Если на компьютере есть другие разделы, которым назначена буква диска, они также автоматически публикуются как административные общие ресурсы (
D$
,
E$
и т.д.). Если вы используете общий принтер, должен быть шар
Print$
или
FAX$
– при использовании факс-сервера.
Обратите внимание, что общие названия административных шаров заканчиваются на $. Этот токен заставляет службу LanmanServer скрывать эти ресурсы SMB при доступе к сети (определенные файлы и папки в общей сетевой папке могут быть скрыты с помощью перечисления на основе входа в систему). Если вы попытаетесь просмотреть список сетевых папок (
\computername
), доступных на вашем компьютере, в проводнике Windows, вы не увидите их в списке доступных общих ресурсов SMB.
вы можете получить список административных общих ресурсов, доступных на удаленном компьютере, с помощью команды:
net view \computername /all
Большинство сторонних файловых менеджеров для Windows имеют возможность автоматически отображать административные ресурсы, доступные на удаленных компьютерах.
Чтобы открыть содержимое административного общего ресурса из проводника, необходимо указать его полное имя. Например,
\computernamec$
. Эта команда откроет содержимое локального диска C и позволит вам получить полный доступ к файловой системе системного диска удаленного компьютера.
Только члены группы администраторов локального компьютера (и группы операторов резервного копирования) могут получить доступ к административным сферам при условии, что SMB включен, общий доступ к файлам и принтерам включен и доступ через TCP-порт 445 не заблокирован из брандмауэра Защитника Windows.
Сферы администрирования Windows полезны для удаленного администрирования компьютеров, но они сопряжены с дополнительными рисками безопасности (как минимум, вы не должны использовать один и тот же пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.
Самый простой способ – щелкнуть правой кнопкой мыши имя административного ресурса в оснастке «Управление компьютером» и выбрать «Остановить совместное использование» (или использовать команду
net share IPC$ /delete
). Однако после перезапуска Windows он будет автоматически создан заново.
Чтобы Windows не публиковала административные общие ресурсы, вам необходимо открыть редактор реестра regedit.exe, перейти в раздел реестра HKLM System CurrentControlSet Services LanmanServer Parameters и добавить параметр Dword с именем AutoShareWks (для настольных версий Windows) или AutoShareServer (для Windows Server) и значение 0.
Вы можете создать этот параметр реестра вручную, из командной строки reg add или через PowerShell:
reg add HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters /f /v AutoShareWks /t REG_DWORD /d 0
или
New-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Type DWORD -Value 0
Вы можете распространить этот раздел реестра на компьютеры домена с помощью объекта групповой политики.
Теперь после перезагрузки административные сферы создаваться не будут. В этом случае утилиты удаленного управления компьютером, в том числе psexec, перестанут работать.
Если вы хотите включить шарики админки, вам нужно изменить значение параметра на 1 или удалить его.
Set-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Value 1
Чтобы Windows воссоздала административные общие ресурсы, просто перезапустите службу сервера с помощью команды:
Get-service LanmanServer | restart-service
Разрешаем удаленный доступ к административным шарам Windows 10
При работе с административными сферами Windows на компьютере, который не присоединен к домену Active Directory (принадлежит рабочей группе), есть важная особенность. Windows 10 блокирует удаленный доступ к предопределенным административным сферам под пользователем, который является членом группы локальных администраторов. Также этот вход работает со встроенной учетной записью локального администратора (по умолчанию она отключена.
Еще несколько подробностей о том, как выглядит проблема. Я пытаюсь с удаленного компьютера получить доступ к интегрированным административным ресурсам компьютера с Windows 10, который находится в рабочей группе (с отключенным брандмауэром) следующим образом:
-
win10_pcC$ -
\win10_pcIPC$ -
\win10_pcAdmin$
В окне авторизации я ввожу имя и пароль учетной записи, которая является членом группы локальных администраторов Windows 10, которая отображает ошибку доступа (Доступ запрещен). В то же время доступ к сетевым каталогам и общим принтерам в Windows 10 работает нормально (компьютер отображается в «Мое сетевое окружение»). Доступ к административным ресурсам со встроенной учетной записью администратора также работает. Если этот компьютер входит в домен Active Directory, доступ к сферам администрирования не блокируется даже в учетных записях домена с правами администратора.
Дело в другом аспекте политики безопасности, появившейся в UAC: так называемом удаленном UAC (User Account Control for Remote Connections), который фильтрует токены доступа для локальных учетных записей и учетных записей Microsoft, блокируя удаленный административный доступ под этими учетными записями. Это ограничение не применяется при входе в систему с учетной записью домена.
Вы можете отключить удаленный UAC, создав параметр LocalAccountTokenFilterPolicy в реестре
Совет. Эта операция несколько снижает уровень безопасности Windows.
- Откройте редактор реестра (regedit.exe);
- Перейдите в ветку реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System ;
- Создайте новый параметр DWORD (32-разрядный) с именем LocalAccountTokenFilterPolicy;
- Установите для параметра LocalAccountTokenFilterPolicy значение 1;
- Вам нужно будет перезагрузить компьютер, чтобы изменения вступили в силу
Примечание. Вы можете создать параметр LocalAccountTokenFilterPolicy с помощью одной команды
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После перезагрузки попробуйте удаленно открыть административный каталог C $ на компьютере с Windows 10. Войдите в систему, используя учетную запись, которая является членом группы локальных администраторов. Должно открыться окно проводника с содержимым диска C:.
Примечание. Позже будут доступны и другие функции удаленного управления Windows 10. Теперь вы можете удаленно подключаться к компьютеру с помощью оснастки «Управление компьютером» и других стандартных консолей.
Итак, мы разобрались, как использовать параметр LocalAccountTokenFilterPolicy, чтобы разрешить удаленный доступ к скрытым административным ресурсам для всех локальных администраторов на компьютере с Windows. Инструкции также применимы к Windows 8.1, 7 и Windows Server.
Источник изображения: winitpro.ru
При настройке общего сетевого доступа к файлам и папкам, а также сетевым принтерам, для их открытия по умолчанию требуется использовать логин и пароль пользователя удаленного компьютера. Если это не удобно или есть основания полагать, что общий доступ не работает по этой причине, вы можете включить общий доступ для всех пользователей в локальной сети без ввода пароля.
В этой пошаговой инструкции подробно о том, как отключить общий доступ с парольной защитой в Windows 11 и Windows 10, позволив всем пользователям с любого компьютера в локальной сети иметь доступ к общим папкам и другим ресурсам.
Отключение общего доступа с парольной защитой
Для того, чтобы отключить общий доступ с парольной защитой и сделать возможным подключение к сетевым папкам и другим ресурсам без пароля, на том компьютере, где находятся эти общие ресурсы, потребуется выполнить следующие шаги:
- Откройте панель управления (для этого можно использовать поиск в панели задач), а в ней — Центр управления сетями и общим доступом.
- В панели слева нажмите «Изменить дополнительные параметры общего доступа».
- Раскройте раздел «Все сети», а затем, в разделе «Общий доступ с парольной защитой» выберите пункт «Отключить общий доступ с парольной защитой».
- Примените сделанные настройки.
В результате с любых компьютеров в локальной сети будет возможен доступ к сетевым ресурсам на том компьютере, где были выполнены указанные настройки, при условии, что:
- На устройствах, с которых осуществляется доступ включено сетевое обнаружение
- На ПК или ноутбуке, к которому осуществляется подключение, есть папки и/или иные ресурсы, к которым предоставлен общий доступ.
Надеюсь, материал будет полезен, а если остаются вопросы — задавайте их в комментариях, с большой вероятностью решение найдётся.
В этой статье показаны действия, с помощью которых можно включить или отключить общий доступ к файлам и принтерам в операционной системе Windows 10.
Общий доступ к файлам и принтерам — это возможность компьютера под управлением Windows совместно использовать папку или подключенный принтер с другими компьютерами в сети.
Общий доступ к файлам позволяет сделать файлы и папки в общей папке доступными для просмотра, копирования или изменения другими пользователями в сети.
Общий доступ к принтеру позволяет сделать подключенный принтер доступным для других пользователей в сети.
Если вы подключены к общедоступной сети (например в кафе или библиотеке), может потребоваться отключить общий доступ к файлам и принтерам до подключения к частной сети (например, дома или на работе).
Если сетевые компьютеры не отображаются в Проводнике, убедитесь, что службы указанные ниже, включены, настроены на автоматический режим и запущены:
- Хост поставщика функции обнаружения (Function Discovery Provider Host — fdPHost)
- Публикация ресурсов обнаружения функции (Function Discovery Resource Publication — FDResPub)
Далее в статье показаны различные способы как включить или отключить общий доступ к файлам и принтерам.
Содержание
- Управление общим доступом через параметры
- Как включить или отключить общий доступ в командной строке
- Управление доступом в Windows PowerShell
- Настройка общего доступа в сетях Microsoft
Управление общим доступом через параметры
Чтобы включить или отключить общий доступ к файлам и принтерам, нажмите на панели задач кнопку Пуск 
и далее выберите Параметры 
или нажмите на клавиатуре сочетание клавиш 
+ I.
В открывшемся окне «Параметры Windows» выберите Сеть и Интернет.
Затем на вкладке Состояние, в правой части окна в разделе Изменение сетевых параметров выберите Параметры общего доступа.
В открывшемся окне Дополнительные параметры общего доступа, разверните нужный профиль сети (по умолчанию будет открыт текущий профиль) для которого требуется включить или отключить общий доступ к файлам и принтерам, установите переключатель в соответствующее положение и нажмите кнопку Сохранить изменения.
Как включить или отключить общий доступ в командной строке
Данный способ позволяет включить или отключить общий доступ к файлам и принтерам для всех сетевых профилей.
Команды для русскоязычной локализации Windows
Чтобы включить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:
netsh advfirewall firewall set rule group=»Общий доступ к файлам и принтерам» new enable=Yes
Чтобы отключить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:
netsh advfirewall firewall set rule group=»Общий доступ к файлам и принтерам» new enable=No
Команды для английской локализации Windows
Чтобы включить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:
netsh advfirewall firewall set rule group=»File and Printer Sharing» new enable=Yes
Чтобы отключить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:
netsh advfirewall firewall set rule group=»File and Printer Sharing» new enable=No
Управление доступом в Windows PowerShell
Также, чтобы включить общий доступ к файлам и принтерам, можно использовать консоль Windows PowerShell. Все команды нужно выполнять в консоли Windows PowerShell открытой от имени администратора.
Команды для русскоязычной локализации Windows
Чтобы включить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled True -Profile Any
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Домен (Domain), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled True -Profile Domain
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Частная сеть (Private), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled True -Profile Private
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть (Public), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled True -Profile Public
Команды для английской локализации Windows
Чтобы включить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled True -Profile Any
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Домен (Domain), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled True -Profile Domain
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Частная сеть (Private), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled True -Profile Private
Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть (Public), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled True -Profile Public
Команды для отключения в русскоязычной локализации Windows
Чтобы отключить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled False -Profile Any
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Домен (Domain), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled False -Profile Domain
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Частная сеть (Private), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled False -Profile Private
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть (Public), выполните команду:
Set-NetFirewallRule -DisplayGroup «Общий доступ к файлам и принтерам» -Enabled False -Profile Public
Команды для отключения в английской локализации Windows
Чтобы отключить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled False -Profile Any
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Домен (Domain), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled False -Profile Domain
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Частная сеть (Private), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled False -Profile Private
Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть (Public), выполните команду:
Set-NetFirewallRule -DisplayGroup «File And Printer Sharing» -Enabled False -Profile Public
Настройка общего доступа в сетях Microsoft
Чтобы включить общий доступ к файлам и принтерам в сетях Microsoft, нажмите нажмите на клавиатуре сочетание клавиш + R, в открывшемся окне Выполнить введите ncpa.cpl и нажмите клавишу Enter↵.
В открывшемся окне Сетевые подключения, щелкните правой кнопкой мыши на сетевом адаптере (в данном примере Ethernet), для которого вы хотите включить или отключить общий доступ к файлам и принтерам для сетей Microsoft, и в появившемся контекстном меню выберите пункт Свойства.
В открывшемся окне свойств сетевого адаптера на вкладке Сеть, чтобы включить (по умолчанию включен) общий доступ к файлам и принтерам установите флажок опции Общий доступ к файлам и принтерам в сетях Microsoft и нажмите кнопку OK.
Чтобы отключить общий доступ к файлам и принтерам снимите флажок опции Общий доступ к файлам и принтерам в сетях Microsoft и нажмите кнопку OK.
Хотя общий доступ к файлам или папкам — это очень удобный и быстрый способ поделиться файлами в домашней сети, это может быть очень рискованно, если будет открыто для публики. Просто для вашего сведения: когда вы разрешаете общий доступ к файлам в любой сети, на вашем ПК создается папка «Пользователи», через которую другие пользователи могут получить доступ к вашей папке «Мои документы» и рабочему столу, что делает ваш компьютер уязвимым для атак. Поэтому рекомендуется ограничить общий доступ к папкам в Windows 10. Давайте узнаем, как это сделать.
Прежде чем мы перейдем к тому, как остановить общий доступ к папкам, давайте сначала узнаем, как проверить, является ли какая-либо из ваших папок общедоступной или нет.
- Использование fsmgmt.msc
- Использование командной строки
1]Через fsmgmt.msc
Нажмите Win + R, чтобы открыть диалог выполнения.
Введите следующее и нажмите Enter:
fsmgmt.msc
Откроется окно со всеми общими папками на вашем ПК.
2]Через командную строку
Нажмите Win + R и введите CMD, чтобы открыть командную строку.
Введите следующее и нажмите Enter:
чистая доля
Командная строка отобразит все общие папки на вашем ПК.
Ограничить общий доступ к папкам в Windows 10
Теперь давайте посмотрим, как ограничить общий доступ к папкам в Windows 10:
- Через проводник
- Путем удаления доступа
- Через командную строку
- Через панель управления
1]Через проводник
- Нажмите Win + E, чтобы открыть проводник.
- Перейдите в папку, которую вы не хотите открывать для публики.
- Щелкните правой кнопкой мыши и откройте Свойства.
- Перейдите в раздел «Совместное использование» и нажмите «Расширенный доступ».
- Снимите флажок «Поделиться этой папкой».
- Нажмите ОК и Применить.
2]Путем удаления доступа
- Нажмите Win + E, чтобы открыть проводник.
- Зайдите в общую папку.
- Щелкните правой кнопкой мыши, выберите «Предоставить доступ» и нажмите «Удалить доступ».
Вот и все, готово.
3]Через командную строку
Вы также можете остановить общий доступ к папке через командную строку.
Чтобы открыть командную строку, введите командную строку в строке поиска на панели задач.
Выберите Командная строка, щелкните правой кнопкой мыши и выберите Запуск от имени администратора.
Введите net share, чтобы увидеть все ваши общие папки.
Это отобразит все общие папки на вашем ПК.
Найдите папку, доступ к которой вы хотите ограничить.
Теперь введите следующее и нажмите Enter, и все готово.
чистый ресурс (общая папка) / удалить
Например, здесь я создал папку Sharetest на моем диске E для тестирования и теперь удаляю ее через командную строку.
Да, в командной строке говорится, что общий тест удален успешно, но это просто означает, что он больше не используется. Папка по-прежнему доступна на вашем ПК.
4]Через панель управления
- Нажмите Win + R и введите Панель управления, чтобы открыть ее.
- Перейдите в Центр управления сетями и общим доступом.
- Нажмите «Изменить дополнительные параметры общего доступа».
- Перейти ко всем сетям.
- В разделе «Общий доступ к папкам» выберите вариант «Отключить общий доступ к общим папкам».
- Щелкните Сохранить изменения.
После выключения все ваши общедоступные папки будут отключены. Люди, выполнившие вход на этот компьютер, по-прежнему смогут видеть эти папки и получать к ним доступ.
Итак, это были некоторые из способов ограничить общий доступ к папке в Windows 10. Все они просты и не требуют специальных технических знаний. Вы можете выбрать то, что вам удобнее.
Читайте сейчас — как обмениваться или передавать файлы между учетными записями пользователей.
.