Administrator melihat SEMUA drive yang dipetakan

11

Dalam pemahaman saya tentang keamanan, seorang administrator harus dapat melihat semua koneksi ke dan dari komputer - sama seperti mereka dapat melihat semua proses / pemilik, koneksi jaringan / proses kepemilikan. Namun, Windows 8 tampaknya telah menonaktifkan ini.

Sebagai administrator menjalankan peningkatan di Win Vista + ketika Anda menjalankan net useAnda mendapatkan kembali semua drive yang dipetakan, terdaftar sebagai tidak tersedia. Di Windows 8, perintah yang sama dijalankan dari prompt yang muncul mengembalikan "Tidak ada entri dalam daftar". Perilaku ini identik dengan PowerShell Get-WmiObject Win32_LogonSessionMappedDisk.

Solusi untuk pemetaan yang persisten adalah dengan menjalankannya Get-ChildItem Registry::HKU*\Network*. Ini tidak termasuk pemetaan sementara (dalam contoh khusus saya dibuat melalui explorer pada akun administrator dan saya tidak memilih "Sambungkan kembali saat masuk")

Apakah ada cara langsung / sederhana bagi Administrator untuk melihat koneksi pengguna mana pun (pendek skrip yang berjalan di bawah konteks setiap pengguna)? Saya telah membaca Beberapa Program Tidak Dapat Mengakses Lokasi Jaringan Ketika UAC Diaktifkan tetapi saya rasa itu tidak berlaku.

Saya telah melihat jawaban ini, tetapi masih tidak membahas drive non-persisten. Bagaimana saya bisa tahu drive jaringan apa yang telah dipetakan pengguna?

command-line-interface windows-8 uac mappeddrive forensics kskid19
sumber
Apakah Powershell Cmdlet Get-SmbMappingmembantu?
Ryan Ries
Tidak, hasil yang sama. Saya juga mengujinya pada Win7 tadi malam (versi yang salah dari powershell) dan memberikan hasil yang sama ketika Anda mendapatkan prompt yang ditinggikan melalui pengguna standar.
kskid19
Perintah dengan output yang lebih verbose adalah wmic netuse. Anda mungkin ingin menulis ini ke file dan membukanya sebagai nilai yang dipisahkan dengan tab.
Jason
Dari perspektif keamanan, daftar pemetaan tidak berguna. Bagaimanapun, orang dapat mengakses saham ini secara langsung melalui jalur UNC tanpa pernah memetakannya.
RomanSt

Jawaban:

4

Pada Windows 7, jika UAC diaktifkan dan Anda membuka Command Prompt dengan "Run as Administrator", Anda tidak akan melihat drive yang dipetakan. Pada Windows 8, Anda akan melihat bahwa bahkan ketika UAC dinonaktifkan, Anda masih harus "Jalankan sebagai Administrator".

Alasan mengapa Administrator tidak melihat drive yang dipetakan dijelaskan dalam artikel Technet yang Anda tautkan . Singkatnya, Anda menjalankan dengan hanya token Administrator, dan drive dipetakan diberikan kepada pengguna Standard tanda. Windows 7 dengan UAC dinonaktifkan menjalankan Command Prompt dengan kedua token.

Resolusi dalam artikel itu juga berfungsi dengan Windows 8. Navigasi ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, buat nilai DWORD dari EnableLinkedConnections , setel ke 1 , dan mulai ulang.

Prompt Perintah Administrator

Jason
sumber
Alamat ini melihat drive jika Anda adalah administrator pada sistem dan pengguna secara bersamaan. Bagaimana dengan melihat koneksi non-persisten dari pengguna pada sistem / jaringan? (Itulah sebabnya saya bertanya di sini alih-alih pengguna
super