Администратор просмотреть ВСЕ подключенные диски

11

В моем понимании безопасности администратор должен иметь возможность просматривать все подключения к компьютеру и с компьютера - так же, как он может просматривать все процессы / владелец, сетевые подключения / процесс владения. Тем не менее, Windows 8, кажется, отключил это.

Как администратор, работающий с повышенными правами в Win Vista +, при запуске net useвы возвращаете все подключенные диски, указанные как недоступные. В Windows 8 та же команда, запущенная из приглашения с повышенными привилегиями, возвращает «В списке нет записей». Поведение идентично для powershell Get-WmiObject Win32_LogonSessionMappedDisk.

Обходной путь для постоянных сопоставлений - запуск Get-ChildItem Registry::HKU*\Network*. Это не включает временные сопоставления (в моем конкретном примере он был создан через проводник на учетной записи администратора, и я не выбрал «Повторное подключение при входе в систему»)

Существует ли прямой / простой способ для администратора просматривать подключения любого пользователя (кроме сценария, который выполняется в контексте каждого пользователя)? Я прочитал, что некоторые программы не могут получить доступ к сетевым расположениям, когда включен контроль учетных записей, но я не думаю, что это особенно применимо.

Я видел этот ответ, но он по-прежнему не относится к непостоянным дискам. Как узнать, какие сетевые диски подключены пользователями?

command-line-interface windows-8 uac mappeddrive forensics kskid19
источник
Помогает ли Powershell Cmdlet Get-SmbMapping?
Райан Райс
Нет, тот же результат. Я также тестировал его на Win7 прошлой ночью (неправильная версия powershell), и он дает те же результаты, когда вы получаете расширенное приглашение от обычного пользователя.
kskid19
Команда с более развернутым выходе wmic netuse. Вы, вероятно, захотите записать это в файл и открыть его в виде значений, разделенных табуляцией.
Джейсон
С точки зрения безопасности, список отображений бесполезен. В конце концов, можно получить доступ к этим ресурсам напрямую через UNC-путь, даже не отображая их.
RomanSt

Ответы:

4

В Windows 7, если UAC включен и вы открываете командную строку с «Запуск от имени администратора», вы также не увидите подключенные диски. В Windows 8 вы заметите, что даже когда UAC отключен, вам все равно нужно «Запуск от имени администратора».

Причина, по которой администратор не видит подключенные диски, объясняется в статье Technet, которую вы связали . В двух словах, вы работаете только с токеном администратора, а подключенные диски передаются токену обычного пользователя. Windows 7 с отключенным UAC запускает командную строку с обоими токенами.

Решение в этой статье также работает с Windows 8. Перейдите HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, создайте значение DWORD EnableLinkedConnections , установите его равным 1 и перезапустите.

Командная строка администратора

Джейсон
источник
Это касается просмотра дисков, если вы являетесь администратором системы и пользователем одновременно. Как насчет просмотра непостоянных соединений любого пользователя в системе / сети? (Именно поэтому я спросил здесь вместо суперпользователя)
kskid19