Скрытая шара в windows 10

Обновлено: 03.07.2024

Общие файловые ресурсы или шары (shares) предназначены для того, чтобы предоставлять пользователям удаленный доступ к файлам. Большинство пользователей считает, что для предоставления доступа к своим файлам их необходимо предварительно ″расшарить″, однако это не совсем так.

Для того, чтобы посмотреть список уже имеющихся на компьютере шар, надо набрать Win+R и выполнить команду compmgmt.msc, затем в оснастке Управление компьютером (Computer Management) перейти в раздел Общие папки\Общие ресурсы (Shared folders\Shares). По умолчанию в любой ОС Windows присутствуют такие шары как ADMIN$ (C:\Windows), С$ (C:\), E$ (E:\), F$ (F:\) и так далее по количеству дисков в системе.

Это так называемые административные шары, доступ к которым имеют только члены группы локальных администраторов на компьютере. Будучи администратором (или зная его пароль) достаточно набрать в проводнике что-то типа \\«имя компьютера»\C$ и можно получить неограниченный доступ к файловой системе на удаленном компьютере.

Административные ресурсы очень удобны в плане администрирования, но с точки зрения безопасности являются дополнительной ″дырой″. Если вы серьезно относитесь к защите своих данных, то доступ к ним желательно отключить. Однако если просто удалить шару из оснастки управления компьютером, то после перезагрузки все вернется обратно.

список шар в оснастке управления компьютером

Чтобы этого не произошло, необходимо открыть редактор реестра и перейти в раздел HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters. Для полного отключения административных шар надо добавить параметр типа DWORD с именем AutoShareWks и значением 0 (для рабочей станции) или параметр типа DWORD с именем AutoShareServer и значением 0 (для серверной ОС).

параметр реестра для отключения административных шар

Также настройку можно произвести с помощью PowerShell, например:

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

отключение административных шар с помощью PowerShell

Теперь после перезагрузки административные шары больше не появятся. Для их включения надо задать параметру AutoShareWks\AutoShareServer значение 1 либо удалить его из реестра.

date

10.02.2021

directory

Windows 10, Windows Server 2016

comments

комментариев 10

Административные общие ресурсы (шары) используются в Windows для удаленного доступа и управления компьютером. Если открыть консоль управления компьютером ( compmgmt.msc ), развернуть секцию System Tools -> Shared Folders -> Share (Общие папки -> Общие ресурсы) или выполнить команду net share , вы увидите список административных общих папок (эти папки скрыты в сетевом окружении и доступ к ним ограничен).

По-умолчанию Windows создает следующие админ шары:

Общие скрытые административные ресурсы в windows 10

Обратите внимание, что имена общих административных шар заканчиваются знаком $. Этот знак заставляет службу LanmanServer скрывать данные SMB ресурсы при доступе по сети (конкретные файлы и папки в общем сетевом каталоге можно скрыть с помощью Access-Based Enumeration). Если вы попытаетесь в проводнике отобразить список доступных на компьютере сетевых папок ( \\computername ), вы не увидите их в списке доступных общих SMB каталогов.

проводник не показывает административные общие ресурсы (шары) Windows

Можно получить список доступных административных шар на удаленном компьютере с помощью команды:

net view \\computername /all

net view all - просмотр списка доступных административных общих ресурсов в windows

В большинстве сторонних файловых менеджеров для Windows доступна опция, позволяющая автоматически показывать доступные административные ресурсы на удаленных компьютерах.

Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Например, \\computername\c$ . Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.

Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол, общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall.

удаленный доступ к административной шаре c$ в windows

Как отключить/включить административные шары в Windows 10?

Административные шары Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности (Как минимум не стоит использовать одинаковый пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.

Самый простой способ – щелкнуть правой кнопкой мыши по имени административного ресурса в оснастке управления компьютером и выбрать Stop sharing (или использовать команду net share IPC$ /delete ). Однако после перезагрузки Windows она пересоздастся автоматически.

отключить админ шару C$, ADMIN$

Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0.

AutoShareWks параметр реестра Windows, который запрещает создавать скрытые административные папки

Можно создать это параметр реестра вручную, из командной строки reg add или через PowerShell:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.

Если вы хотите включить админские шары, нужно изменить значение параметра на 1 или удалить его.

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

включить админские шары в windows 10

Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:

перезапуск службы lanmanserver

Разрешаем удаленный доступ к административным шарам Windows 10

При работе с административными шарами Windows на компьютере, который не добавлен в домен Active Directory (состоит в рабочей группе) есть одна важная особенность. Windows 10 блокирует удаленный доступ к дефолтным административным шарам под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.

Немного подробнее как выглядит проблема. Я пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном файерволе) таким образом:

  • \ \win10_pc\C$
  • \\win10_pc\IPC$
  • \\win10_pc\Admin$

В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально (компьютер виден в сетевом окружении). Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.

запрещен доступ к административной шаре C$ для администраторов Windows 10

Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ под такими учеткам. При доступе под доменным аккаунтом такое ограничение не применяется.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности Windows.

LocalAccountTokenFilterPolicy

  1. Откройте редактор реестра (regedit.exe);
  2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ;
  3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
  4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
  5. Для применения изменений потребуется перезагрузить компьютер
Примечание. Создать параметр LocalAccountTokenFilterPolicy можно всего одной командой

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

разрешить удаленный доступ к административным шарам в windows 10

Примечание. После этого станет доступен и другой функционал удаленного управления Windows 10. В том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управление компьютером) и другими стандартными консолями.

Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Инструкция применима также к Windows 8.1, 7 и Windows Server.

Столкнулся с тем, что не удается удаленно подключиться к дефолтным административным шарам (которые с долларом) на компьютере с Windows 10 под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.

Немного подробнее как выглядит проблема. Пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном фаерволе) таким образом:

  • \\win10_pc\C$
  • \\win10_pc\D$
  • \\win10_pc\IPC$
  • \\win10_pc\Admin$

В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально. Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то под доменными аккаунтами с правами администратора доступ к админским шарам также не блокируется.

Windows10 не работает удаленный доступ к административным шарам

Дело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ таким учеткам. При доступе под доменным аккаунтом такое ограничение не налагается.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности системы.

LocalAccountTokenFilterPolicy

  1. Откройте редактор реестра (regedit.exe)
  2. Перейдите в ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy
  4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1
  5. Для применения изменений потребуется перезагрузить компьютер

Примечание. Создать указанный ключ можно всего одной командой

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

win10 подключение к c$

Примечание. Станет доступен и другой функционал удаленного управления Windows 10, в том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управления компьютером).

Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Данная инструкция применима также к Windows 8.x, 7 и Vista.

При обращении к сетевому ресурсу по имени \\server выходила ошибка 0x80004005, имя разрешается, то есть определяется ip-адрес, хост пингуется, нет доступа к компьютерам ниже Windows 10. Решение было достаточно простым, но до этого перебрал несколько других вариантов, не помогло. Этот способ помог.

Если не заходит из Windows 10 на шару под Windows XP или под Windows Server 2003 решение такое:

Включить протокол SMB 1.0, который не установлен (по умолчанию) в Windows 10.

Открываем панель «Программы и компоненты»
В открывшемся окне жмём на «Включение или отключение компонентов Windows»
Там ставим галочки на пунктах «Клиент SMB 1.0/CIFS» и «Сервер SMB 1.0/CIFS»

Что есть «админ-шара» и с чем её едят?

Общие сетевые ресурсы («шары», от англ. «share» – «делиться») используются для получения доступа к ресурсам на другом компьютере с использованием сетевого подключения.

Например: к компьютеру А по USB подключен принтер, не умеющий работать по сети. При этом, поблизости находится компьютер Б, которому так же необходимо печатать документы на данный принтер. Проще всего это сделать, "расшарив" принтер в сеть, и с компьютера Б отправлять задание печати на компьютер А, а с компьютера А это задание будет автоматически перебрасываться на принтер. В данном случае этот принтер будет называться расшаренным (shared printer).

То же самое можно выполнить с папками: дать доступ на чтение/запись из/в них по сети, и любой (или определённый) пользователь сможет подключиться к компьютеру, выполняющему роль файлового сервера, прочитать, скопировать или записать документы в расшаренную сетевую папку.

Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.

По-умолчанию Windows создаёт следующие админ-шары:

  • Admin$ – расшаренный каталог %SystemRoot% (обычно – C:\Windows)
  • IPC$ – Remote IPC (используется для сервисов "Удалённый реестр" (RRC), psexec и пр.)
  • C$ – расшаренный раздел диска C: . В случае, если на компьютере имеются другие разделы, которым назначены буквы диска, под них так же будут созданы админ-шары ( D$ , E$ и т.д.)

Помимо этого, в случае включения общего доступа к любому принтеру – будет создана шара Print$ , а в случае включения факс-сервера – FAX$ .

Просмотреть активные шары можно двумя способами:

Как можно заметить, все админ-шары имеют на конце имени символ доллара – $ . С помощью этого символа служба LanmanServer скрывает шару при SMB доступе, из-за чего админ-шары не отображаются, например, при входе на сетевой ресурс из стандартного "Проводника" Windows. Однако стоит упомянуть, что в большинстве сторонних файловых менеджеров, предусмотрен функционал, позволяющий показывать админ-шары на удалённых устройствах.

net view \\computername /all

Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \\имя_компьютера /all

Доступ к админ-шарам, как и к любым сетевым ресурсам, происходит по пути: \\имя_компьютера\имя_шары .

Для доступа к админ-шаре необходимо соблюдение следующих условий:

  • И на целевой машине, и на машине, с которой производится попытка получить доступ – должна быть включена поддержка SMB:
    Панель управления – Программы и компоненты – Включение или отключение компонентов Windows – Поддержка общего доступа к файлам SMB 1.0/CIFS (Control Panel – Programs and Features – Turn Windows features on or off – SMB 1.0/CIFS File Sharing Support)

  • На целевой машине должен быть включен общий доступ:
    Панель управления – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа (Control Panel – Network and Sharing Center – Change advanced sharing settings), в разделе текущего профиля (current profile) включить всё:

  • Файерволлы/брандмауэры (в т.ч. Защитник Windows (Windows Defender)) не должны блокировать доступ по порту TCP 445
  • Пользователь, от имени которого происходит авторизация на целевой машине, должен числиться в локальной группе администраторов целевой машины:
    Управление компьютером – Локальные пользователи и группы – Пользователи – Свойства пользователя – Членство в группах (Computer Management – Local Users and Groups – Users – Properties – Member Of). Необходимо добавить пользователя в группу "Администраторы" (или "Administrators" – для редакции Windows с английской локализацией).

При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.

Доступ в админ-шару

В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи.

Как прекратить общий доступ к админ-шарам

Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.

Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.

Прекращение общего доступа к админ-шаре

  • Через CMD/PowerShell:
    net share имя_шары /delete , например: net share ADMIN$ /delete
  • Через Управление компьютером:
    Управление компьютером – Служебные программы – Общие папки – Общие ресурсы – ПКМ по ресурсу – Прекратить общий доступ (Computer Management – System Tools – Shared Folders – Shares – ПКМ – Stop Sharing):

Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.

Для того, чтобы этого не происходило, необходимо внести изменения в реестр, в ветку HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters .
Изменяем или создаём DWORD32 параметр AutoShareWks (для Windows Desktop) или AutoShareServer (для Windows Server) и присваиваем ему значение 0 .
Сделать это можно:

  • С помощью редактора реестра (regedit) в графической среде
  • Через CMD:
    Desktop: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 0 /f
    Server: reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 0 /f
  • Через PowerShell:
    Desktop: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareWks -Type DWORD -Value 0
    Server: New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareServer -Type DWORD -Value 0

Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.

Как вернуть автоматическое создание и восстановить стандартные админ-шары

Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters изменить значение параметра AutoShareWks или AutoShareAuto на 1 или вовсе удалить этот параметр.

Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:

Перезапуск службы "Сервер" из "Управления компьютером"

  • CMD:
    sc stop LanmanServer & ping -n 10 0.0.0.0 > nul & sc start LanmanServer
  • PowerShell:
    Restart-Service LanmanServer
  • Управление компьютером:
    Управление компьютером – Службы и приложения – Службы – Служба «Сервер» – Перезапустить (Computer Management – Services and Applications – Services – «Server» – Restart)

После произведённых манипуляций, стандартные админ-шары должны быть созданы.

«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару

Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.

Для этого в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Создайте параметр типа DWORD32 с именем LocalAccountTokenFilterPolicy и задайте ему значение 1 .

В некоторых случаях требуется перезагрузить компьютер для применения изменений.

Это же действие можно выполнить с помощью команды CMD/PS:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

В Windows 10 изменились некоторые функции общего доступа к файлам и папкам по сети, в том числе удаление домашней группы. Узнайте ответы на часто задаваемые вопросы о других изменениях, связанных с доступом к файлам и папкам в Windows 10.

Как теперь предоставлять общий доступ к файлам или папкам по сети?

Для предоставления общего доступа к файлу или папке в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выберите файл и нажмите Предоставить доступ к > Отдельные люди.

Предоставление общего доступа к файлам конкретным пользователям по сети

Предоставление общего доступа к файлам конкретным пользователям по сети

Если выбрать одновременно несколько файлов, вы можете предоставить к ним общий доступ таким же образом. Эта функция работает и для папок: вы можете поделиться папкой, после чего общий доступ будет предоставлен ко всем файлам в ней.

Для прекращения общего доступа в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выделите файл или папку, а затем выберите Предоставить доступ к > Удалить доступ.

Почему параметр "Прекратить общий доступ" или "Удалить доступ" отображается в проводнике для файлов, к которым еще не предоставлен общий доступ?

В проводнике отображается параметр "Удалить доступ" ("Прекратить общий доступ" в предыдущих версиях Windows 10) для всех файлов, даже для тех, к которым не предоставляется общий доступ по сети.

Как узнать, к каким файлам или папкам предоставлен общий доступ по сети?

Откройте проводник и введите \\localhost в адресной строке.

Примечание: Если вы предоставили общий доступ к файлу из папки в профиле пользователя, то после перехода по адресу \\localhost вы увидите профиль пользователя и все связанные файлы. Это не означает, что ко всем вашим файлам предоставлен общий доступ. Просто у вас есть доступ ко всем собственным файлам.

Включение сетевого обнаружения в проводнике

Как устранить неполадки с общим доступом к файлам и папкам?

Для устранения неполадок, связанных с предоставлением общего доступа к файлам и папкам, выполните следующие действия на всех компьютерах, на которых вы хотите настроить общий доступ.

Убедитесь, что компьютеры находятся в одной сети. Например, если компьютеры подключаются к Интернету с помощью беспроводного маршрутизатора, убедитесь, что они подключены через один и тот же беспроводной маршрутизатор.

Если вы подключены к сети Wi-Fi, измените ее тип на Частная. Чтобы узнать, как это сделать, ознакомьтесь с разделом Общедоступные и частные сети Wi-Fi в Windows 10.

Включите сетевое обнаружение и общий доступ к файлам и принтерам, а затем отключите общий доступ с защитой паролем.

В разделе Частная выберите Включить сетевое обнаружение и Включить общий доступ к файлам и принтерам.

В разделе Все сети выберите Отключить общий доступ с парольной защитой.

Включите автоматический запуск служб общего доступа.

Нажмите клавишу Windows + R.

В диалоговом окне Выполнить введите services.msc и нажмите кнопку OK.

Щелкните правой кнопкой мыши каждую из следующих служб, выберите Свойства. Если они не работают, щелкните Запустить и рядом с полем Тип запуска выберите Автоматически:

Читайте также: