[Sina]

Hallo

Unter Windows 2000/NT und XP wird Standardmäßig jede Festplatte freigegeben (C$, D$, IPC$, Admin$ usw.). Diese Freigaben kann man zwar löschen, Windows stellt Sie aber nach jedem Neustart wieder automatisch her.
Wollen Sie dies verhindern, ändern Sie folgendes in der Registry:
unter:

HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ LanmanServer\ Parameters

Für die Server-Version:

"AutoShareServer" als Datentyp REG_DWORD auf "0" setzen bzw. auf "1" um es wieder zu aktivieren

Das klappt auch, aber was genau - wenn überhaupt - bringt das für die Netzwerksicherheit?

Sina, die gerade an einem neuen Netzwerk bastelt und deren Netzwerkergrauten Haare langsam weiß werden, die verkniffen guckt und ihre Familie angiftet

[burning-joe]

Also die Netzwerkfreigaben sind dafür gedacht, um Administratoren die Möglichkeit zu geben einen PC auch remote zu bedienen (naja, eben Dateien hin- und herzuschieben ).

Ich würde sagen, dass diese Freigaben eher nicht sicherheitsrelevant sind, da sie ja nur mit Administratorenkonten benutzbar sind.

[Rika]

Zumindest seit WinXP bzw. Win2K SP3, weil sie da bei leerem Adminpasswort abgeschaltet werden. Bei einem schlecht gewählten Adminpasswort sind sie natürlich weiterhin ein Problem.

[Sina]

Hallo

Lieben Dank für Eure Antwort !

Machen oder nicht machen?

Sina,

[Slaghe]

Wenn du es brauchst würde ich es lassen.
Wenn nicht kann es ruig weglassen. [Edit] Also machen

Klingt irgendwie Logisch

Dieser Beitrag wurde von Slaghe bearbeitet: 28. Januar 2006 - 15:22

[Sina]

Zitat (Slaghe: 28.01.2006, 15:20)

Wenn du es brauchst würde ich es lassen.
Wenn nicht kann es ruig weglassen. [Edit] Also machen Klingt irgendwie Logisch

Dir scheint es ähnlich wie mir zu gehen – haben dir deine Kinder / Enkel auch eine kreischende Krähe ins Haus geschleppt?

Sina

[Win-Fan]

Zitat (Sina: 28.01.2006, 14:48)

Unter Windows 2000/NT und XP wird Standardmäßig jede Festplatte freigegeben (C$, D$, IPC$, Admin$ usw.). Diese Freigaben kann man zwar löschen, Windows stellt Sie aber nach jedem Neustart wieder automatisch her.

Das klappt auch, aber was genau - wenn überhaupt - bringt das für die Netzwerksicherheit?

Löschen braucht und sollte man die "Administrativen Freigaben"(wie sie eigentlich heissen) eigentlich auch nicht, da dies nicht wesendlich zur Sicherheit beiträgt (da sie auch nicht direkt mit den normalen Freigaben in Zusammenhang stehen), und das löschen unter Umständen evtl. nur Probleme bereiten könnte, da einige Dienste oder auch Anwendungen darüber laufen.

Und das belassen der Administrativen Freigaben hat auch noch den kleinen Vorteil, das man so ein Anhaltspunkt für ein evtl. befallenes System hat, da einige Schädlinge diese Freigaben löschen, und plötzlich gelöschte Freigaben somit ein sehr eindeutiges Indiz für ein Infiziertes System sind.
Zitat MS:
Fehlende administrative Freigaben sind in der Regel ein Hinweis darauf, dass der betreffende Computer durch bösartige Software beeinträchtigt wurde. Auf betroffenen Servern sollte eine Formatierung und Neuinstallation von Windows durchgeführt werden.

In vielen Fällen entfernen diese bösartigen Programme die administrativen Freigaben als Verteidigungsmaßnahme, um andere, konkurrierende böswillige Benutzer daran zu hindern, die Kontrolle über die infizierten Systeme zu übernehmen.

Eine Infektion durch eines dieser bösartigen Programme kann direkt aus dem Internet kommen oder von einem anderen Computer im lokalen Netzwerk, der infiziert ist.

Ein Beispiel für ein bösartiges Programm, das administrative Freigaben zum Ziel hat, ist der Trojaner "Win32.Agobot"

Und unter XP Home (als Bsp.) werden auch keine administrativen Freigaben weiter erstellt (gibt hier glaub ich nur IPC$ als einzigste Freigabe).


PS:
Diese ganzen Empfehlungen im I-Net über die deaktivierung der "Administrativen Freigaben" kommen auch großteils nur von den üblichen Tuning-Seiten, und gehören warscheinlich auch mehr oder weniger nur zu den üblichen "Paranoia-Empfehlungen" und "1000 geheime Registry Tricks & Tipps" und gehören warscheinlich mehr in die Kategorie "ohne Bedeutung".

Dieser Beitrag wurde von Win-Fan bearbeitet: 29. Januar 2006 - 03:43

[Rika]

Wenn ich das schon wieder lese...

Zitat

(da sie auch nicht direkt mit den normalen Freigaben in Zusammenhang stehen)

Doch, tun sie. Es sind ganz normale Freigaben, die, wie normale Freigaben auch, per angehängtem $ sich grob verstecken lassen (d.h. Windows sieht sie zwar, zeigt sie aber nicht an). Sie sind ausschließlich mit dem Kennwort des Builtin-Administrators geschützt bzw. seit WinXP bei leerem Kennwort via Named Pipes ausgeblendet.

Zitat

Und unter XP Home (als Bsp.) werden auch keine administrativen Freigaben weiter erstellt

Doch.

Zitat

(gibt hier glaub ich nur IPC$ als einzigste Freigabe).

Der IPC$-Share ist das Problem schlechthin, denn der ist stets ohne Kenntwort erreichbar und ermöglicht RPC via Named Pipes. Es ist sehr leicht, sich damit das Genick zu brechen.

[Win-Fan]

@Rika

Shit, hab mir schon gedacht das nicht alles richtig ist. Hab eigentlich nur das geschrieben was ich so zusammengesucht hab, darunter ebend auch die Aussage das Win XP Home einige dieser administrativen Freigaben nicht erstellt. Erstellen und Löschen versteckter oder administrativer Freigaben auf Clientcomputern (letzter Satz unter "Weitere Informationen") und in der Microsoft Management Console Hilfe => Freigegebene Ordner => Konzepte => Grundlegendes zu freigegebenen Ordnern => Spezielle freigegebene Ressourcen (letzter Satz).

Dieser Beitrag wurde von Win-Fan bearbeitet: 29. Januar 2006 - 15:16

[Sina]

Zitat (Rika: 29.01.2006, 13:44)

Der IPC$-Share ist das Problem schlechthin, denn der ist stets ohne Kenntwort erreichbar und ermöglicht RPC via Named Pipes. Es ist sehr leicht, sich damit das Genick zu brechen.

Rika, seit den letzten drei Beiträgen fühle ich mich wie ein überdimensionales ?Fragezeichen?
Kannst du mir das noch mal so erklären, wie du es zuletzt mit dem DOS Fenster gemacht hast - war nämlich absolut super

Also, wenn man im Windows Explorer auf > Extras > Ordneroptionen > Ansicht klickt, kann man doch den Haken vor „Einfache Dateifreigabe verwenden (empfohlen)“ weg machen. Klickt man danach auf „Für alle übernehmen“ findet man unter den „Eigenschaften“ für einen Ordner einen „neuen“ Reiter, nämlich den Reiter „Sicherheit“.
Unter dem Reiter Sicherheit kann man nun doch sehr genau festlegen, wer auf diesen Ordner zugreifen darf.

Wenn ich es richtig kapiert habe, bedeutet doch „Einfache Dateifreigabe verwenden (empfohlen)“ dass jeder, der dem Netzwerk angehört, den freigegebener Ordner lesen / benutz kann.
Verwende ich hingegen nicht „Einfache Dateifreigabe verwenden (empfohlen)“ - dann kann ich doch zum Beispiel festlegen, dass Enkel 1 zwar auf diesen Ordner zugreifen kann, Enkel 2 hingegen nicht.

Wieder vorausgesetzt, ich habe das richtig kapiert - macht diese Möglichkeit der explizierten Zuweisung z.B. auch dann Sinn, wenn mehrere Menschen einen Computer benutzen und es zum Beispiel Programme gibt, die man nur mit administrativen Rechten bzw. als Admin ausführen kann. Bei vielen (älteren) Programmen, die nicht für XP geschrieben wurden, ist dieses so.
In Konsequenz würde dieses bedeuten, ich müsste meine Enkel als Admin eintragen, anstelle als Benutzer, damit sie z.B. ein (älteres, aber sehr gutes) Vokabelprogramm benutzen könnten.
Verwende ich nun nicht „Einfache Dateifreigabe verwenden (empfohlen)“, dann kann ich hingegen festlegen, wer genau dieses Programm benutzen darf, ohne deshalb pauschal Adminrechte vergeben zu müssen. Vorausgesetzt, ich komme dahinter, wo im Windowsordner dieses Programm so rumfuhrwerkt, denn meiner Erfahrung nach genügt es bei älteren Programmen oft nicht, nur den Programmordner für den Benutzer xy freizugeben.

Ist bis hierhin alles soweit richtig?

Verwende ich nun nicht „Einfache Dateifreigabe verwenden (empfohlen)“ – dann sehe ich z.B. klick auf C: > „Eigenschaften“ > Reiter „Freigabe“ dieses $ Zeichen.
Wenn ich nun auf „Diesen Ordner nicht freigeben“ klicke, dann kommt irgend so ein Text von wegen, der Ordner sei nur für administrative Zwecke freigegeben etc.
Während der aktuellen Computersitzung bleibt nun zwar „Diesen Ordner nicht freigeben“ markiert - aber sobald ich den Computer neu starte, ist dieses $ Zeichen wieder vorhanden und der Ordner für administrative Zwecke freigegeben.

Fügt man nun in der Registry unter:
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ LanmanServer\ Parameters
(für die Windows Workstation Version) „AutoShareWks“ als DWort-Wert ein und setzt den auf „0“ -- dann bleibt auch nach einem Neustart „Diesen Ordner nicht freigeben“ erhalten.

Das müsste doch eigentlich Sinn machen, denn damit sind erst mal alle Ordner nicht freigegeben.

Oder spielt diese $ Freigabe keine Rolle?
Oder legt man sein System irgendwie lahm, wenn man diesen DWort-Wert einträgt?

Obwohl mein Beitrag nun viel viel länger als ursprünglich gedacht wurde, würde ich mich über Antworten sehr freuen.

Sina

[Lofote]

Zitat

Sie sind ausschließlich mit dem Kennwort des Builtin-Administrators geschützt

Raff ich nicht ganz. Seit wann ist eine Freigabe selbst geschützt und das auch noch durch einen User?

Eine Freigabe hat eine ACL, und im Fall der administrativen Freigaben wird der Administratorengruppe FullControl-Rechte gegeben (somit ist im Normalfall auch ein DomainAdmin schreibberechtigt, weil er standardmässig der lokalen Administratorengruppe aller Rechner angehört).
Aber mit dem festdefinierten User "Administrator" eines Windows-Systems hat das nicht direkt was zu tun.

Korrigier mich, wenn ich dich missverstanden habe ...

[JuLi LeoNova]

Ein wichtiger Punkt ist es eigentlich, diese Einstellungen vorzunehemen, wenn man sich auf eine LAN-party begeben will. Denn die sache ist die, es gibt dort genügend leut mit einem Portscanner die das ganze netzwerk durchforsten um jemanden zu finden, der die "Administratorischen Standartfreigaben" noch aktiviert hat. In diesem fall, können Sie auf deine C:\ platte wo dein system drauf ist zu greifen und somit auch auf eigene Dateien und Dir dort oder im System einiges (soRRy) zerwixxen oder hinterlegen (Trojan horse) ...

[Rika]

Zitat

Oder spielt diese $ Freigabe keine Rolle?

Man braucht sie nur für AD-Domains.

Zitat

Oder legt man sein System irgendwie lahm, wenn man diesen DWort-Wert einträgt?

Nein. Würde mich auch wundern, denn hier gibt's überhaupt gar keine Freigaben.

Zitat

Seit wann ist eine Freigabe selbst geschützt und das auch noch durch einen User?

Freigaben werden Benutzerkonten zugeordnet. Du kannst doch festlegen, daß User A und User B auf die Freigabe zugreifen können, jeweils nur mit Kenntnis ihres Passwortes. Und administrative Freigaben sind auf den Admin-Account festgelegt.

Zitat

Administratorischen Standartfreigaben

You made my day.

[JuLi LeoNova]

Wenn Du einen Rechner in Deinem Netzwerk hast, der JA die Administratorischen Standartfreigaben noch drin hat, also C$ und/oder D$ ... folgendes:

start - ausführen: \\rechnername\C$

und Du wirst sehen, das Du auf diesen PC zugriff hast und Ihm nach wunsch das System (soRRy) zerwixxen kannst ...


*ausnahme: Er hat bei der Installation kein Administrator Pw festgelegt ... was ja viele nicht machen!

[Rika]

Kannst du nur, wenn du das Passwort kennst.

Zitat

*ausnahme: Er hat bei der Installation kein Administrator Pw festgelegt ... was ja viele nicht machen!

Bei Windows 2000 gibt's diese Ausnahme nicht.

Mal ganz davon abgesehen hast du den Punkt an der Sache nicht verstanden: Die Begrifflichkeit Standartfreigaben trifft genau den Sinn und Zweck dieser Freigaben.