Der gesamte Benutzerordner ist freigegeben

7816
Kol12

Ich habe kürzlich ein neues Administratorkonto erstellt und mein ursprüngliches Administratorkonto in ein Standardbenutzerkonto für "Best Practice-Sicherheit" umgewandelt. Ich habe festgestellt, dass ich als Standardbenutzer auf den Administratorordner zugreifen kann, den AFAIK-Standardbenutzer nicht verwenden dürfen In der Lage sein zu tun.

Beim Überprüfen der Eigenschaften des Ordners "Users" und des Abschnitts "Advanced sharing" der Registerkarte "Sharing" hat die Gruppe "Everyone" die volle Kontrolle über den Benutzerordner. Der Ordner wird auch in Status: Freigegeben angezeigt. Ich habe diese Berechtigungen nicht für den Benutzerordner initiiert. Das einzige, was mir einfällt, ist, dass die Homegroup beim Erstellen einer Homegroup die Freigabe initiierte. Ich habe die Heimnetzgruppe nur zu Testzwecken erstellt und anschließend entfernt. Ich habe einen ähnlichen Bericht über Win 7 gelesen, in dem bei der Erstellung einer Homegroup oder öffentlichen Freigabe automatisch der gesamte Benutzerordner freigegeben wird und selbst nach dem Entfernen der Homegroup der Benutzerordner weiterhin freigegeben bleibt! https://scottiestech.info/2009/09/25/windows-7-file-sharing-fixing-the-entire-user-directory-shared-problem/

Ist es möglich, dass Windows 10 dasselbe Verhalten erbt? In dieser Phase spekuliere ich lediglich darüber, was passiert ist, aber das Thema Homegroup scheint machbar.

Grundsätzlich möchte ich, dass dies alles wieder in den Normal- oder Standardzustand versetzt wird, und ich bin besorgt, dass dies auch eine Sicherheitslücke ist. Ich weiß nicht genau, was hier passiert ist. Ich bin nicht sicher, welche Erlaubnis ich nehmen und anfangen sollte, sich zu verändern, ohne irgendetwas zu zerbrechen oder die Dinge zu verschlimmern. Kann mir jemand helfen?

3

1 Antwort auf die Frage

2
David Woodward

Ich habe derzeit kein Windows 10-System in der Nähe, in dem ich nachschauen könnte, aber ich würde vermuten, dass die Freigabe des Ordners wahrscheinlich ausreichend wäre.

Beachten Sie auch, dass Freigabeberechtigungen Dateisystemberechtigungen nicht überschreiben. Wenn also das Benutzerverzeichnis über Freigabeberechtigungen verfügt Everyone: Full, die Dateisystemberechtigungen jedoch mit restriktiveren Berechtigungen konfiguriert sind, z. B. Everyone: Read, Administrators: Full, Creator/Owner: Fullsind die restriktiveren Berechtigungen zwischen den beiden wirksam. In diesem Szenario ist die Gruppe "Jeder" / "Sicherheitsprinzipal" für "Nur Lesen" eingeschränkt. Wenn für ein Unterverzeichnis unter Users keine Berechtigungen für die Gruppe Everyone / Security Principal Everyone festgelegt sind, kann "Everyone" das Unterverzeichnis sehen, jedoch nicht öffnen oder lesen.

Nebenbei bemerkt bin ich nicht sicher, welche bewährten Vorgehensweisen Sie gelesen haben. Wenn sich in Windows 10 jedoch keine drastischen Änderungen ergeben haben, habe ich das integrierte Administratorkonto (das Konto mit einer RID / SID, das auf -500 endet) geändert., kann nicht in ein "Standardbenutzerkonto" geändert werden. Es wird immer über Administratorrechte verfügen.

Die beste Methode, mit der ich vertraut bin, ist das Deaktivieren des integrierten Kontos (obwohl es immer noch im abgesicherten Modus verwendet werden kann, falls Sie sich in einer Notfallsituation befinden sollten), benennen Sie es um und erstellen Sie ein neues Standardbenutzerkonto mit dem Namen "Administrator" "was ebenfalls deaktiviert ist (nur zum Abwerfen wäre Hacker), und erstellen Sie ein Administratorkonto unter einem anderen Namen für Ihre eigene Verwendung.

AKTUALISIEREN:

Bei der Konversation in den Kommentaren ist mir klar, dass Sie sich auf den Standardbenutzer beziehen, der während der Installation erstellt wurde. Nicht der eingebaute Administrator, da ich Sie falsch verstanden habe. Dieser Benutzer kann wie von Ihnen angegeben in einen Standardbenutzer umgewandelt werden. Ich entschuldige mich für die Verwirrung.

Was die Standardberechtigungen angeht, habe ich Windows 10 Virtual Machine (Anniversary Update 1607) getestet und festgestellt, dass das Benutzerverzeichnis standardmäßig verwendet wird Everyone: Read/Execute/List. Für alle Profilverzeichnisse (Users \ jemand) unter dem Benutzerverzeichnis werden jedoch NICHT Berechtigungen von Benutzern erben und explizit festgelegt SYSTEM: Full; Administrators: Full; Profile Owner: Full. Niemand außer Admins und der Benutzer, dem dieses Profil gehört, hat die Berechtigung, etwas unter dem Profilverzeichnis eines anderen Benutzers zu lesen, aufzulisten oder zu ändern.

So setzen Sie Ihre Berechtigungen auf die Standardwerte zurück:

  1. Deaktivieren Sie das Benutzerverzeichnis

  2. Setzen Sie die Dateisystemberechtigungen für das Verzeichnis "Benutzer" (Registerkarte "Sicherheit") auf zurück Everyone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Execute

  3. Ändern Sie alle Benutzerprofilverzeichnisse unter Benutzerverzeichnis, um Berechtigungen nicht vom übergeordneten Verzeichnis zu erben (Registerkarte Sicherheit -> Erweitert), und legen Sie dann explizit die Berechtigungen fest SYSTEM: Full; Administrators: Full; <user name>: Full

Diese Schritte können natürlich mithilfe von PowerShell-Befehlen und dergleichen ausgeführt werden. Im Sinne, die Dinge auf Ihrem Erfahrungsniveau zu halten und Ihnen dabei zu helfen, die Seile zu erlernen, bleibe ich bei den GUI-Methoden. Hier sind einige Screenshots, die helfen sollen.

Benutzerverzeichnis: Benutzerverzeichnis-Berechtigungen

Verzeichnisberechtigungen für einzelne Benutzerprofile (Beachten Sie, dass die Berechtigungen NICHT vererbt werden). Testen Sie die Benutzerverzeichnisberechtigungen

Kommentare sind nicht für eine erweiterte Diskussion vorgesehen. Diese Konversation wurde in den Chat verschoben (http://chat.stackexchange.com/rooms/46189/discussion-on-answer-by-david-woodward-entire-users-folder-is-shared-is). Mokubai vor 7 Jahren 0

Verwandte Probleme