Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

管理共有は、Windowsでコンピューターにリモートアクセスして管理するために使用されます。コンピューター管理コンソール(compmgmt.msc)を開いた場合 )、[システムツール]->[共有フォルダ]->[共有]セクションを展開するか、net shareを実行します コマンドを実行すると、管理者共有フォルダーのリストが表示されます(これらのフォルダーはネットワークの近隣に隠されており、アクセスが制限されています)。

Windowsの管理用隠し共有とは何ですか?

デフォルトでは、Windowsは次の管理共有を作成します:

  • Admin$ —リモート管理者(これは%SystemRoot%です ディレクトリ)
  • IPC$ —リモートIPC(名前付きパイプで使用)
  • C$ —デフォルトのドライブ共有

ドライブ文字が割り当てられている他のパーティションがコンピューター上にある場合、それらは管理共有として自動的に公開されます(D$E$ など)。共有プリンタを使用している場合は、Print$が必要です。 、またはFAX$ ファックスサーバーを使用している場合は共有します。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

管理共有の名前は$で終わることに注意してください 。このマークにより、LanmanServerはネットワーク経由でアクセスされたときにこれらのSMBリソースを非表示にします(共有ネットワークフォルダー内の特定のファイルとフォルダーは、アクセスベースの列挙を使用して非表示にできます)。コンピューターで使用可能な共有ネットワークフォルダーのリストをファイルエクスプローラー(\\computername)で表示しようとした場合 )、利用可能なSMB共有のリストには表示されません。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

次のコマンドを使用して、リモートコンピューターで使用可能な管理共有のリストを取得できます。

net view \\computername /all

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

Windows用のほとんどのサードパーティのファイルマネージャーには、ネットワークを閲覧するときにリモートコンピューターで利用可能な管理リソースを自動的に表示するオプションがあります。

ファイルエクスプローラーから管理共有の内容を表示するには、そのフルネームを指定する必要があります。例:\\computername\c$ 。このコマンドは、ローカルドライブCの内容を開き、リモートコンピューターのシステムドライブのファイルシステムにアクセスできるようにします。

SMBを有効にし、ファイルとプリンターの共有を有効にし、TCPポート445を介したアクセスがWindows Defenderファイアウォールルールによってブロックされていない場合、ローカルコンピューターのAd​​ministratorsグループ(およびBackup Operatorsグループ)のメンバーのみが管理共有にアクセスできます。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

Windows10で管理共有を無効/有効にする方法

Windows管理共有は、リモートコンピューター管理には便利ですが、追加のセキュリティリスクがあります(少なくとも、すべてのコンピューターで同じローカル管理者パスワードを使用しないでください。LAPSを使用してパスワードを一意にします)。 Windowsがこれらの非表示の管理共有を作成するのを完全に防ぐことができます。

管理共有を削除する最も簡単な方法は、[コンピューターの管理]スナップインで共有名を右クリックし、[共有の停止]を選択することです。 (またはnet share Admin$ /deleteを使用します 指図)。ただし、Windowsを再起動すると、Admin$共有が自動的に再作成されます。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

Windows 10が管理共有を公開しないようにするには、レジストリエディター(regedit.exe)を開く必要があります。 )、レジストリキーHKLM \ System \ CurrentControlSet \ Services \ LanmanServer \ Parametersに移動し、 AutoShareWksという名前のDwordパラメータを追加します。 (デスクトップバージョンのWindowsの場合)または AutoShareServer (Windows Serverの場合)および値 0

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

このレジストリパラメータは、手動で、reg addコマンドラインツールから、またはPowerShellを介して作成できます。

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

または

New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

このレジストリパラメーターは、GPOを介してすべてのドメインコンピューターに展開できます。

これで、再起動後、管理共有は作成されません。この場合、psexecを含むリモートコンピューター管理用のツール 、動作を停止します。

Windowsで管理共有を有効にする場合は、パラメータ値を 1に変更する必要があります。 または削除します:

Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

Windowsに非表示の管理共有を再作成させるには、サーバーを再起動するだけです。 コマンドを使用したサービス:

Get-service LanmanServer | restart-service -verbose

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

LocalAccountTokenFilterPolicyを使用してWindows10の管理共有へのリモートアクセスを有効にする

Active Directoryドメイン(ワークグループの一部)に参加していないコンピューターでWindows管理者共有フォルダーを操作する場合の重要な問題が1つあります。 Windows 10は、デフォルトで、管理共有へのリモートアクセスをローカルのAdministratorsグループのメンバーであるユーザーに制限します。組み込みのローカル管理者アカウントでのみ使用できるリモートアクセス(デフォルトでは無効になっています)。

問題の詳細は次のとおりです。次のように、ワークグループのメンバーである(ファイアウォールがオフになっている)Windows10を実行しているコンピューター上の組み込みの管理共有にリモートアクセスしようとしています。

  • \\ w10_pc \ C $
  • \\ w10_pc \ D $
  • \\ w10_pc \ IPC $
  • \\ w10_pc \ Admin $

承認ウィンドウで、Windows 10のローカルAdministratorsグループのメンバーであるアカウントの資格情報を指定すると、「アクセスが拒否されました」というメッセージが表示されます。 " エラー。同時に、Windows 10のすべてのネットワーク共有と共有プリンターにアクセスできます(コンピューターはネットワークネイバーフッドに隠されていません)。また、組み込みの管理者の下で管理共有にアクセスできます アカウント。このコンピューターがActiveDirectoryドメインに参加している場合、管理者権限を持つドメインアカウントからの管理者共有へのアクセスはブロックされません。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

重要なのは、UACに登場したセキュリティポリシーの別の側面、いわゆるリモートUACです。 (リモート接続のユーザーアカウント制御)ローカルアカウントとMicrosoftアカウントのトークンをフィルタリングし、そのようなアカウントの管理共有へのリモートアクセスをブロックします。ドメインアカウントでアクセスする場合、この制限は適用されません。

LocalAccountTokenFilterPolicy を作成すると、リモートUACを無効にできます。 レジストリのパラメータ

ヒント 。 Windowsのセキュリティレベルがわずかに低下します。
  1. レジストリエディタ( regedit.exe )を開きます );
  2. 次のregキーHKEY_LOCAL_MACHINE\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Systemに移動します;
  3. LocalAccountTokenFilterPolicy という名前の新しいDWORD(32ビット)パラメーターを作成します;
  4. LocalAccountTokenFilterPolicyパラメーター値を1に設定します。 Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理
  5. コンピュータを再起動して変更を適用します。
。次のコマンドを使用して、LocalAccountTokenFilterPolicyレジストリパラメータを作成できます。

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

再起動後、Windows10を実行しているコンピューターでC$管理共有をリモートで開いてみてください。ローカルのAdministratorsグループのメンバーであるアカウントを使用してログインします。ファイルエクスプローラウィンドウが開き、C:\ドライブの内容が表示されます。

Windows 10での管理共有(Admin $、IPC $、C $、D $)の管理

。その後、他のWindows10リモート管理機能が利用できるようになります。これを含めて、コンピューター管理スナップインおよびその他の標準のWindowsmmcコンソールを使用してコンピューターにリモート接続できます。

そこで、LocalAccountTokenFilterPolicyキーを使用して、Windows10を実行しているコンピューターのすべてのローカル管理者に非表示の管理共有へのリモートアクセスを許可する方法を検討しました。このガイドは、Windows 8.1、7、およびWindowsServerにも適用されます。


  1. Windows 10 で管理ツールを削除する

    Windows 10 で管理ツールを削除します。 管理ツールは、システム管理者および上級ユーザー向けのツールを含むコントロール パネル内のフォルダーです。そのため、ゲストまたは初心者の Windows ユーザーは管理ツールにアクセスできないと想定しても問題ありません。この投稿では、Windows 10 で管理ツールを非表示、削除、または無効にする方法を正確に説明します。これらのツールは重要であり、それらをいじっています。システムに損害を与える可能性があるため、それらへのアクセスを制限することをお勧めします。 ゲスト ユーザーの管理ツールを簡単に無効化または削除する方法はいくつかありますが

  2. Windows 10 の管理ツールとは何ですか?

    経験豊富な Windows ユーザーであっても、パックされている強力な管理ツールに出くわすことは非常にまれです.しかし、時折、無意識のうちにその一部に出くわすことがあります。 Windows 管理ツールは、Windows の一連のコア操作を担当する複雑なツールであると同時に強力であるため、十分に隠す必要があります。 Windows 管理ツールとは Windows 管理ツールは、システム管理者が一般的に使用する高度なツールのセットです。 Windows 管理ツールは、Windows 10、Windows 8、Windows 7、Windows Vista、Windows XP、および Wi