Ivan Salvade’

Il mio punto di vista su Virtualizzazione, Sicurezza, Messaggistica, Network Management…

  • Ivan

    248418_467427256623661_1655875885_n.jpg
  • Abbonati

  •  

    febbraio 2011
    L M M G V S D
    « gen   mar »
     123456
    78910111213
    14151617181920
    21222324252627
    28  
  • Tag Cloud

L’accesso a C$ in Windows 7 e Windows Server 2008 R2 (parte 1)

Scritto da Ivan Salvade' il 24 febbraio 2011

Il “Controllo Account Utente” (UAC) è un componente di sicurezza di Windows 7, Windows Vista e Windows Server 2008, che permette agli utenti di eseguire le loro normali operazioni quotidiane come “non-amministratori”, pur facendo parte, come spesso accade, del gruppo locale degli Amministratori.

In pratica, quando si logga un utente facente parte del gruppo Amministratori, questo viene dotato di un doppio token di accesso : uno con i completi diritti amministrativi, e l’altro con i diritti di Standard User.  E’ proprio quest’ultimo che rimane attivo per default, finchè l’utente esegue operazioni che non richiedono diritti amministrativi (es. consultare la posta, andare in Internet, ecc.).

Non appena l’utente deve eseguire un’operazione amministrativa (es. aprire “Gestione Computer”), viene attivato il suo token “amministrativo” (più o meno automaticamente, questo è configurabile), e l’utente può eseguire l’operazione con i massimi privilegi.

La tecnica UAC crea dei problemi quando si vuole accedere da remoto alle condivisioni amministrative (per esempio la tanto famosa e utile C$) presenti su Windows Vista, Windows 7 o Windows Server 2008.

Esistono due casistiche generali :

  1. Quando un utente (non di dominio), membro del gruppo Administrators locale di un computer remoto, tenta di stabilire una connessione remota amministrativa verso quel computer (per es. \\computer\c$), l’utente non viene connesso come Full Administrator, perchè UAC non eleva i privilegi per una connessione amministrativa proveniente da remoto, se fatta da un utente locale (SAM Account).  Quindi si riceve un accesso negato.
  2. Quando un utente (di dominio), che ha il suo account di dominio membro del gruppo Administrators locale di un computer remoto, stabilisce una connessione remota amministrativa verso quel computer, viene connesso come Full Administrator, e UAC non ha effetto.  Quindi la connessione avviene con successo.

Per disabilitare la restrizione del punto 1, è possibile regolare la seguente chiave di registro sul computer remoto :

Posizionarsi in :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

Se non esiste, creare la voce di tipo DWORD  “LocalAccountTokenFilterPolicy“, e porre il valore a 1.

Queste sono le casistiche generali.  In un successivo articolo (http://ivansalvade.it/2011/03/10/l%e2%80%99accesso-a-c-in-windows-7-e-windows-server-2008-r2-parte-2/), illustrerò in maniera dettagliata il funzionamento della suddetta tecnica in una moltitudine di scenari.

  • Share/Bookmark

4 Commenti a “L’accesso a C$ in Windows 7 e Windows Server 2008 R2 (parte 1)”


  1. Ale Scrive:

    e per bloccare la casistica n°2? è possibile fare qulacosa?


  2. Ivan Salvade' Scrive:

    Sebbene sia possibile bloccare l’accesso alle condivisioni amministrative (e quindi anche a C$) con la chiave di registro di tipo DWORD “AutoShareWks” posta a valore 0 nella posizione HKLM\System\CurrentControlSet\Services\LanManServer\Parameters, non ti consiglio questa soluzione in quanto potenzialmente pericolosa per applicazioni/servizi (anche di sistema) che regolarmente utilizzano l’accesso alle condivisioni amministrative.
    Ti consiglio quindi di agire sulle autorizzazioni NTFS della condivisione amministrativa, utilizzando delle DENY esplicite sugli utenti a cui si vuole negare l’accesso amministrativo da rete, oppure di toglierli dai gruppi Administrators locali


  3. Daniele Scrive:

    Ciao Ivan,
    come si fa ad agire sulle autorizzazioni NTFS della condivisione C$ ?
    Nella mia azienda vorrei evitare che dei furbetti da PC in dominio vadano a rovistare nei PC altrui (anche per sicurezza dati sensibili).

    Grazie,
    Daniele


  4. Ivan Salvade' Scrive:

    Ciao Daniele
    semplicemente devi andare nelle proprietà del volume C:, nel tab “Sicurezza”, e regolare le autorizzazioni NTFS. Le autorizzazioni di condivisione, invece, non possono essere impostate in quanto C$ è una condivisione amministrativa e, come tale, l’accesso da rete è riservato solo agli amministratori.

Lascia un Commento

XHTML: Puoi usare i questi tag: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

 
Usiamo i cookie per assicurarti la migliore esperienza di navigazione nel nostro sito web.
Ok