Общая папка пользователей является общей

7711
Kol12

Недавно я создал новую учетную запись администратора и преобразовал свою исходную учетную запись администратора в стандартную учетную запись пользователя для «наилучшей практики безопасности». Я заметил, что как обычный пользователь я могу получить доступ к пользовательской папке администратора, которую AFAIK не должен выполнять обычный пользователь. быть в состоянии сделать.

При проверке свойств папки «Пользователи» и раздела «Расширенный общий доступ» на вкладке «Общий доступ» группа «Все» имеет полный контроль над папкой пользователей. Папка также указывается как находящаяся в состоянии: общая. Я не инициировал эти разрешения для папки пользователей, поэтому я могу думать только о том, что при создании домашней группы домашняя группа инициировала общий ресурс. Я создал Homegroup только для целей тестирования и впоследствии удалил ее. Я читал аналогичный отчет о Win 7, в котором при создании домашней группы или публичного общего доступа автоматически распределяется папка всех пользователей, и даже после удаления домашней группы папка пользователей остается общей! https://scottiestech.info/2009/09/25/windows-7-file-sharing-fixing-the-entire-user-directory-shared-problem/

Возможно ли, что Windows 10 унаследовала такое же поведение? На этом этапе я просто размышляю о том, что произошло, но проблема с Homegroup кажется выполнимой.

По сути, я хочу вернуть все это в нормальное состояние или по умолчанию, и я обеспокоен тем, что это также проблема безопасности. Не зная точно, что здесь произошло, я не уверен в том, какие разрешения нужно использовать, чтобы начать менять, ничего не нарушая и не ухудшая. Может кто-нибудь мне помочь?

3

1 ответ на вопрос

2
David Woodward

В данный момент у меня нет системы Windows 10 для проверки, но я бы предположил, что простого удаления папки будет достаточно.

Также обратите внимание, что общие разрешения не переопределяют разрешения файловой системы. Таким образом, если каталог «Пользователи» имеет разрешения общего ресурса Everyone: Full, но разрешения файловой системы настроены с более ограничительными разрешениями, такими как Everyone: Read, Administrators: Full, Creator/Owner: Full, то более эффективные разрешения между этими двумя являются эффективными. Таким образом, в этом сценарии группа «Все» / участник безопасности ограничена только для чтения. Кроме того, если подкаталог в разделе «Пользователи» вообще не имеет разрешений, настроенных для группы «Все» / субъекта безопасности, «Все» могут видеть подкаталог, но не могут открывать или читать его.

С другой стороны, я не уверен, какие рекомендации вы читали, но если в Windows 10 что-то кардинально не изменилось, то я пропустил встроенную учетную запись администратора (ту, у которой RID / SID заканчивается на -500), не может быть изменен на учетную запись "обычного пользователя". У него всегда будут административные разрешения.

Лучшая практика, с которой я знаком, - отключить встроенную учетную запись (хотя она по-прежнему может использоваться в безопасном режиме, если у вас возникнет чрезвычайная ситуация, где она вам нужна), переименуйте ее, создайте новую стандартную учетную запись пользователя с именем «Администратор». msgstr ", который также отключен (просто для того, чтобы его сбросить, будет хакером), а затем создайте учетную запись администратора под другим именем для собственного использования.

ОБНОВИТЬ:

По разговору в комментариях я понимаю, что вы имеете в виду пользователя по умолчанию, созданного во время установки. Не встроенный администратор, как я не понял, о чем вы говорите. Этот пользователь может быть преобразован в обычного пользователя, как вы заявили. Мои извинения за путаницу.

Что касается разрешений по умолчанию, я поднял тестовую виртуальную машину Windows 10 (Anniversary update 1607) и обнаружил, что по умолчанию для каталога Users Everyone: Read/Execute/List. Однако все каталоги профиля (Users \ somebody) в каталоге Users настроены на НЕ наследовать разрешения от пользователей и явно установлены на SYSTEM: Full; Administrators: Full; Profile Owner: Full. Таким образом, никто, кроме администраторов и пользователей, владеющих этим профилем, не имеет прав на чтение, просмотр или изменение чего-либо в каталоге профиля другого пользователя.

Итак, чтобы сбросить ваши разрешения по умолчанию:

  1. Отменить общий доступ к каталогу пользователей

  2. Сбросьте разрешения файловой системы для каталога «Пользователи» (вкладка «Безопасность») на Everyone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Execute

  3. Измените все каталоги профилей пользователей в каталоге «Пользователи», чтобы они не наследовали разрешения от родительского каталога (вкладка «Безопасность» -> «Дополнительно»), а затем явно установите разрешения для SYSTEM: Full; Administrators: Full; <user name>: Full

Эти шаги, конечно, могут быть выполнены с помощью команд PowerShell и тому подобного, но в духе сохранения вещей на уровне вашего опыта и помощи в освоении веревок я буду придерживаться методов GUI. Вот несколько снимков экрана, чтобы помочь.

Каталог пользователей: Users directory permissions

Отдельные права доступа к каталогу профиля пользователя (обратите внимание, что разрешения НЕ наследуются) Test user directory permissions

Комментарии не для расширенного обсуждения; этот разговор был [перемещен в чат] (http://chat.stackexchange.com/rooms/46189/discussion-on-answer-by-david-woodward-entire-users-folder-is-shared). Mokubai 7 лет назад 0

Похожие вопросы