Обновлено: 03.07.2024

Удаление стандартных общих ресурсов C$, ADMIN$, IPC$

Большинсто людей, работающих в локальных сетях, даже не подозревают о том, что можно обратиться к их диску C: и посмотреть их личные документы. Большинство людей считают: раз я не ставил общий доступ к ресурсам на моем компьютере, то другие не смогут туда залезть. Как бы не так :). Достаточно вам ввести к командной строке ("Пуск -> Выполнить -> cmd")

чтобы убедиться, что у вашего компьютера есть такие «расшаренные» ресурсы, как c$, admin$, ipc$ и другие в этом же духе.

Если кто-либо в вашей сети обладает правами администратора, то он может запросто посмотреть ваш диск. Например, ваш компьютер в локальном домене организации носит имя “my_pc”. В таком случае для доступа к вашему диску C: достаточно ввести путь в проводнике “\my_pcc$”. Попробуйте сами сделать это. Если у вас есть права администратора, то введите подобную команду, заменив имя своего компьютра на имя компьютера соседа.

Для чего я все это рассказываю? Чтобы вы поняли, насколько вы «открыты» другим по-умолчанию. Конечно, это только один из аспектов вашей безопасности при работе в сети, но им тоже нельзя пренебрегать. Итак, как отключить все это безобразие?

Если удалить эти ресурсы через "Управление компьютером" -> "Общие папки", то после перезагрузки они появятся снова. Полностью отключить скрытые ресурсы можно только с помощью правки реестра. Откройте раздел
HKLMSYSTEMCurrentControlSetServicesLanmanServerParameters

Добавьте или измените следующие значения:

Операционная система	Параметр	Тип	Значение
Windows 2000 Server	AutoShareServer	REG_DWORD	0
Windows 2000 Professional	AutoShareWks	REG_DWORD	0

Однако, этот метод не уберёт sharing с IPC$. Для того что бы полностью избавиться от всех административных шарингов, создайте BAT или CMD файлик следующего содержания, и вставьте его в автозагрузку.

net share c$ /delete
net share admin$ /delete
net share ipc$ /delete

Если в вашей системе есть дополнительный диск D:, то можно добавить такую строку:

net share d$ /delete

Последние команды можно записать в исполняемый bat-файл (например, del_share.bat) и запускать в автозагрузке или вручную.

Еще раз повторюсь – узнать, какие общие ресурсы открыты на вашем компьютере можно командой “net share” из командной строки windows либо через "Управление компьютером" -> "Общие папки".

10.02.2021

Windows 10, Windows Server 2016

комментариев 10

Административные общие ресурсы (шары) используются в Windows для удаленного доступа и управления компьютером. Если открыть консоль управления компьютером ( compmgmt.msc ), развернуть секцию System Tools -> Shared Folders -> Share (Общие папки -> Общие ресурсы) или выполнить команду net share , вы увидите список административных общих папок (эти папки скрыты в сетевом окружении и доступ к ним ограничен).

По-умолчанию Windows создает следующие админ шары:

Обратите внимание, что имена общих административных шар заканчиваются знаком $. Этот знак заставляет службу LanmanServer скрывать данные SMB ресурсы при доступе по сети (конкретные файлы и папки в общем сетевом каталоге можно скрыть с помощью Access-Based Enumeration). Если вы попытаетесь в проводнике отобразить список доступных на компьютере сетевых папок ( \\computername ), вы не увидите их в списке доступных общих SMB каталогов.

Можно получить список доступных административных шар на удаленном компьютере с помощью команды:

net view \\computername /all

В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.

Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Например, \\computername\c$ . Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.

Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.

Как отключить/включить административные шары в Windows 10?

Административные шары Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности (Как минимум не стоит использовать одинаковый пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.

Самый простой способ – щелкнуть правой кнопкой мыши по имени административного ресурса в оснастке управления компьютером и выбрать Stop sharing (или использовать команду net share IPC$ /delete ). Однако после перезагрузки Windows она пересоздастся автоматически.

Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0.

Можно создать это параметр реестра вручную, из командной строки reg add или через PowerShell:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.

Если вы хотите включить админские шары, нужно изменить значение параметра на 1 или удалить его.

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:

Разрешаем удаленный доступ к административным шарам Windows 10

При работе с административными шарами Windows на компьютере, который не добавлен в домен Active Directory (состоит в рабочей группе) есть одна важная особенность. Windows 10 блокирует удаленный доступ к дефолтным административным шарам под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.

Немного подробнее как выглядит проблема. Я пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном файерволе) таким образом:

• \ \win10_pc\C$
• \\win10_pc\IPC$
• \\win10_pc\Admin$

В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально (компьютер виден в сетевом окружении). Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.

Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ под такими учеткам. При доступе под доменным аккаунтом такое ограничение не применяется.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности Windows.

1. Откройте редактор реестра (regedit.exe);
2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ;
3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
5. Для применения изменений потребуется перезагрузить компьютер

Примечание. Создать параметр LocalAccountTokenFilterPolicy можно всего одной командой

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

Примечание. После этого станет доступен и другой функционал удаленного управления Windows 10. В том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управление компьютером) и другими стандартными консолями.

Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Инструкция применима также к Windows 8.1, 7 и Windows Server.

Общие файловые ресурсы или шары (shares) предназначены для того, чтобы предоставлять пользователям удаленный доступ к файлам. Большинство пользователей считает, что для предоставления доступа к своим файлам их необходимо предварительно ″расшарить″, однако это не совсем так.

Для того, чтобы посмотреть список уже имеющихся на компьютере шар, надо набрать Win+R и выполнить команду compmgmt.msc, затем в оснастке Управление компьютером (Computer Management) перейти в раздел Общие папки\Общие ресурсы (Shared folders\Shares). По умолчанию в любой ОС Windows присутствуют такие шары как ADMIN$ (C:\Windows), С$ (C:\), E$ (E:\), F$ (F:\) и так далее по количеству дисков в системе.

Это так называемые административные шары, доступ к которым имеют только члены группы локальных администраторов на компьютере. Будучи администратором (или зная его пароль) достаточно набрать в проводнике что-то типа \\«имя компьютера»\C$ и можно получить неограниченный доступ к файловой системе на удаленном компьютере.

Административные ресурсы очень удобны в плане администрирования, но с точки зрения безопасности являются дополнительной ″дырой″. Если вы серьезно относитесь к защите своих данных, то доступ к ним желательно отключить. Однако если просто удалить шару из оснастки управления компьютером, то после перезагрузки все вернется обратно.

Чтобы этого не произошло, необходимо открыть редактор реестра и перейти в раздел HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters. Для полного отключения административных шар надо добавить параметр типа DWORD с именем AutoShareWks и значением 0 (для рабочей станции) или параметр типа DWORD с именем AutoShareServer и значением 0 (для серверной ОС).

Также настройку можно произвести с помощью PowerShell, например:

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары больше не появятся. Для их включения надо задать параметру AutoShareWks\AutoShareServer значение 1 либо удалить его из реестра.

В этой статье показаны действия, с помощью которых можно включить или отключить общий доступ к файлам и принтерам в операционной системе Windows 10.

Общий доступ к файлам и принтерам - это возможность компьютера под управлением Windows совместно использовать папку или подключенный принтер с другими компьютерами в сети.

Общий доступ к файлам позволяет сделать файлы и папки в общей папке доступными для просмотра, копирования или изменения другими пользователями в сети.

Общий доступ к принтеру позволяет сделать подключенный принтер доступным для других пользователей в сети.

Если вы подключены к общедоступной сети (например в кафе или библиотеке), может потребоваться отключить общий доступ к файлам и принтерам до подключения к частной сети (например, дома или на работе).

Если сетевые компьютеры не отображаются в Проводнике, убедитесь, что службы указанные ниже, включены, настроены на автоматический режим и запущены:

• Хост поставщика функции обнаружения (Function Discovery Provider Host - fdPHost)
• Публикация ресурсов обнаружения функции (Function Discovery Resource Publication - FDResPub)

Далее в статье показаны различные способы как включить или отключить общий доступ к файлам и принтерам.

Управление общим доступом через параметры

Чтобы включить или отключить общий доступ к файлам и принтерам, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Сеть и Интернет.

Затем на вкладке Состояние , в правой части окна в разделе Изменение сетевых параметров выберите Параметры общего доступа.

В открывшемся окне Дополнительные параметры общего доступа, разверните нужный профиль сети (по умолчанию будет открыт текущий профиль) для которого требуется включить или отключить общий доступ к файлам и принтерам, установите переключатель в соответствующее положение и нажмите кнопку Сохранить изменения.

Как включить или отключить общий доступ в командной строке

Данный способ позволяет включить или отключить общий доступ к файлам и принтерам для всех сетевых профилей.

Команды для русскоязычной локализации Windows

Чтобы включить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group="Общий доступ к файлам и принтерам" new enable=Yes

Чтобы отключить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group="Общий доступ к файлам и принтерам" new enable=No

Команды для английской локализации Windows

Чтобы включить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes

Чтобы отключить общий доступ к файлам и принтерам, откройте командную строку от имени администратора и выполните следующую команду:

netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=No

Управление доступом в Windows PowerShell

Также, чтобы включить общий доступ к файлам и принтерам, можно использовать консоль Windows PowerShell. Все команды нужно выполнять в консоли Windows PowerShell открытой от имени администратора.

Команды для русскоязычной локализации Windows

Чтобы включить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled True -Profile Any

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Домен ( Domain ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled True -Profile Domain

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Частная сеть ( Private ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled True -Profile Private

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть ( Public ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled True -Profile Public

Команды для английской локализации Windows

Чтобы включить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled True -Profile Any

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Домен ( Domain ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled True -Profile Domain

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Частная сеть ( Private ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled True -Profile Private

Чтобы включить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть ( Public ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled True -Profile Public

Команды для отключения в русскоязычной локализации Windows

Чтобы отключить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled False -Profile Any

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Домен ( Domain ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled False -Profile Domain

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Частная сеть ( Private ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled False -Profile Private

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть ( Public ), выполните команду:

Set-NetFirewallRule -DisplayGroup "Общий доступ к файлам и принтерам" -Enabled False -Profile Public

Команды для отключения в английской локализации Windows

Чтобы отключить общий доступ к файлам и принтерам для всех сетевых профилей, выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled False -Profile Any

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Домен ( Domain ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled False -Profile Domain

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Частная сеть ( Private ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled False -Profile Private

Чтобы отключить общий доступ к файлам и принтерам для сетевого профиля Общедоступная сеть ( Public ), выполните команду:

Set-NetFirewallRule -DisplayGroup "File And Printer Sharing" -Enabled False -Profile Public

Настройка общего доступа в сетях Microsoft

В открывшемся окне Сетевые подключения, щелкните правой кнопкой мыши на сетевом адаптере (в данном примере Ethernet), для которого вы хотите включить или отключить общий доступ к файлам и принтерам для сетей Microsoft, и в появившемся контекстном меню выберите пункт Свойства .

В открывшемся окне свойств сетевого адаптера на вкладке Сеть , чтобы включить (по умолчанию включен) общий доступ к файлам и принтерам установите флажок опции Общий доступ к файлам и принтерам в сетях Microsoft и нажмите кнопку OK .

Чтобы отключить общий доступ к файлам и принтерам снимите флажок опции Общий доступ к файлам и принтерам в сетях Microsoft и нажмите кнопку OK .

Разработчики компании Microsoft предусмотрели общий доступ с парольной защитой в операционной системе Windows 10. Функционал позволяет обмениваться данными между несколькими персональными устройствами. Основное преимущество такого способа – не требуется доступ в интернет. Используют несколько различных вариантов настройки необходимого доступа.

Как отключить общий доступ с парольной защитой

Ограничение заключается в том, что использовать общие системные файлы персонального устройства (компьютера или ноутбука) могут только те пользователи, профили которых защищены отдельным уникальным паролем. Чтобы обмениваться информацией с юзерами других ПК, эту функцию следует отключить.

Внимание! Определенные рамки необходимы, чтобы сделать использование операционки безопасным, защитить от вирусов и просмотра посторонними. Открытый доступ означает полное отсутствие таких барьеров.

Если этот момент опасений не вызывает – создана безопасная сетевая среда, необходимо зайти в систему с правами Администратора для совершения дальнейших действий.

С Панели управления

Отключить ненужный функционал можно через раздел Панель управления. Инструкция по настройке:

• кликнуть по кнопке Пуск на рабочем столе компьютера либо нажать на клавиатуре клавишу Windows;

• перейти на блок «Центр управления сетями и общим доступом» – Control Panel/Network and Sharing Center;

• в левой части открывшегося окна выбрать пункт по смене данных расширенных настроек по общему доступу к нужным папкам и документам;
• перейти на строку «Все сети»;

• затем блок «Общий доступ с паролем», найти пункт «Отключить»

После этого кликнуть по кнопке на экране «Сохранить изменения». Важно – выполнять действия можно только в профиле «Администратор».

Удалить пароль гостевой учетной записи

Если предыдущий вариант не дал нужного результата, можно попробовать удалить пароль с гостевого профиля. Этапы работы с настройками:

• открыть окно «Выполнить» (одновременно нажать на клавиатуре сочетание горячих кнопок «Windows» и «R»), в строку ввести lusrmgr.msc, нажать «Enter» или «ОК»;

• выбрать блок «Локальные группы и пользователи», затем по профилю гостевого аккаунта кликнуть правой клавишей мыши;

• в контекстном меню нажать на пункт «Установить пароль».

В новом окне выбрать вкладку «Установить пароль для гостя», затем в поле «Новый пароль» убрать все значения – оставить пустым. Подтвердить клавишей «ОК».

Удаление защищенного паролем доступа из учетных записей пользователя

Дополнительный способ удаления встроенной защиты – использование Редактора реестра. Инструкция по отключению:

• открыть поле «Выполнить», одновременно зажав комбинацию горячих кнопок «Windows» и «R», в пустую строку ввести команду control userpasswords2 и кликнуть «Enter»;

• в блоке «Пользователи для этого персонального компьютера», во вкладке «Гость» перейти на строку «Сбросить пароль».

Место, где требуется внести информацию о новом пароле, оставляют пустым (важно, чтобы не осталось ни одного символа, включая пробелы). После этого операцию подтверждают клавишей «ОК».

Изменение записи реестра

• открыть стандартное окно «Выполнить» (одновременно кликнуть «Win» и «R» на клавиатуре персонального устройства);
• в пустое поле ввести regedit и подтвердить поиск нужного раздела;

• открывшееся окно будет поделено на две отдельные зоны – слева разделы, которые подлежат редактированию, справа подробная информация о выбранном пункте;

• для отключения необходимо найти строку ControlLsa (последовательно пройти по папкам HKEY_LOCAL_MACHINE, затем SYSTEM, CurrentControlSet);
• справа отобразится список характеристик, следует выбрать пункт «everyoneincludeanonymous», по нему кликнуть дважды.

В новом поле меняют значение в графе «Данные» на единицу, подтверждают операцию (клавиша «Enter» на клавиатуре или «ОК» на панели окна).

Проверить, не истекает ли срок действия пароля

Еще один способ – выяснить остаток по сроку действия внесенного в операционную систему пароля пользователя. Инструкция:

• начать с панели «Выполнить», в пустую строчку ввести значение lusrmgr.msc, кликнуть «ОК»;

• в левой части открывшегося окна найти подпункт «Гость»;
• вызвать правой клавишей мыши контекстное меню раздела, перейти на «Свойства».

• Далее необходимо установить флажок (если он отсутствует) рядом с фразой «Срок действия пароля не истекает».

Внимание! Все действия совершаются через профиль Администратора. Компьютер, по завершении настроек, требуется перезагрузить, чтобы проверить правильность введенных данных и выявить ошибки.

Возможные проблемы

В некоторых случаях изменения не сохраняются, что означает наличие неполадок в настройках или операционке. Если при использовании локальной сети папки с общим доступом не открываются, необходимо проверить следующее:

• версии операционной системы на подключенных ПК (возможно, требуется обновление);
• подключение осуществляется посредством одной локальной сети;
• изменить настройки сети Wi-Fi на пункт «Частная», перезагрузить;
• активизировать сетевой поиск и доступ, затем повторить процедуру отключения общего доступа.

Кроме этого, можно попробовать включить запуск общих программ в автоматическом режиме. В окне «Выполнить» ввести services.msc, открыть «Свойства» и изменить параметр «Тип запуска».

Подключение общего доступа к системным файлам означает создание локальной сети для обмена данными. Это небезопасно для подключенных устройств, но позволяет просматривать информацию без доступа к интернету. Если необходимых навыков и знаний недостаточно для внесения изменений, следует точно следовать указанным инструкциям.

Читайте также:

  
• Как установить paint на windows 10
  
• Сброс сетевых настроек windows 7
  
• Не приходят смс mac os
  
• Как вызвать windows form
  
• Как установить статический ip адрес windows server 2008