как запретить доступ к \\ 127.0.0.1 \ c $ или \\ localhost \ c $

Это был мой первоначальный ответ:

Это действительно не поведение по умолчанию, поэтому у вас происходит что-то странное. Либо разрешения по умолчанию были изменены (что IIRC непросто с обычным оружием), либо они являются членами администраторов (я знаю, вы сказали, что это не так, но это может быть косвенное членство), опытных пользователей или операторов резервного копирования. Возможно также операторы печати.

Я понимаю, что это не то, что вы хотите услышать, учитывая, насколько хорошо вы подчеркнули, что пользователи не являются администраторами, но я десятки раз заглядывал в такие вещи для людей, и всегда оказывалось что-то вроде " О, я предполагаю, что однажды мой коллега добавил «all_staff» в группу «администраторов», потому что генеральный директор кричал на него, что он не может подключиться к серверу по RDP из дома ».

И это очень неправильно, но оно заслуживает того, чтобы остаться в качестве иллюстрации давнего убеждения, которое не проверяется достаточно часто. Я считаю, что это изменение поведения по сравнению с более ранними версиями Windows, но я не уверен, когда это изменение могло произойти.

Я тестировал Windows 10 Pro и Enterprise на тот случай, если у них разные настройки по умолчанию, а пользователи жестяная банка Просмотрите локальные административные общие ресурсы, и, боюсь, ваши возможности управления этим кажутся довольно ограниченными. Вы можете отключить административные общие ресурсы, как предлагает mdpc (см. https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008) для источника Microsoft для этого), но это может повлиять на работу различных инструментов администрирования на этих компьютерах (например, может помешать развертыванию / обновлению агентов автоматического развертывания), поэтому я бы действительно не рекомендовал это делать.

Кстати, скрытие диска способом, который вы описываете через GPO, не имеет ничего общего с разрешениями на диск или общий ресурс. Это просто запускает флаг в Windows, чтобы скрыть определенные буквы дисков. Это ненадежно и ненадежно, и я видел, как многие администраторы в сфере образования, например, сходили с ума, пытаясь сравнить это со всем, что могут делать студенты, но это бесполезно.

Однако ... Хотя пользователи могут получить доступ к своей локальной административной общей папке, они не могут получить доступ к общим папкам на других компьютерах, и их доступ через общую папку по-прежнему предоставляет им только тот же доступ, который они имели бы «обычно». Следовательно, пользователи не могут «взломать» систему таким образом; они не могут изменить то, на что у них еще нет разрешения.

Однако вы можете и должны заблокировать корень диска c: \. Вот несколько инструкций для этого:

1. Перейдите на свой DC, откройте ADUC, создайте группу безопасности (скажем, «Заблокируйте диск c») для пользователей, которые не смогут сохранять файлы на корневой диск.
2. Откройте GPMC, создайте GPO, который ссылается на ваши целевые машины.
3. Отредактируйте политику и откройте [Конфигурация компьютера | Политика | Настройки Windows | Настройки безопасности | Файловая система] Щелкните правой кнопкой мыши «Файловая система», выберите «Добавить файл ...» и выберите диск «C:», введите.
4. На странице безопасности нажмите кнопку «Дополнительно». Добавьте группу безопасности «Заблокировать диск c».
5. Выделив эту группу, нажмите Advanced. В окне «Дополнительные параметры безопасности» убедитесь, что выбрана правильная группа, и нажмите «Изменить».
6. Измените тип на «Запретить» и примените к «Только эта папка».
7. Нажмите переключатель «Показать основные разрешения» / «Показать расширенные разрешения», чтобы увидеть расширенные разрешения.
8. Установите флажок «Запретить» ТОЛЬКО для следующих элементов: «Создание файлов / Запись данных» и «Создание папок / Добавление данных».
9. Нажмите ОК, чтобы выйти из редактора разрешений, затем снова нажмите ОК.
10. В окне с предупреждением о запрещении разрешений нажмите Да.
11. Установите для параметра политики безопасности значение «Затем настройте этот файл или папку» и выберите «Распространить наследуемые разрешения на все вложенные папки и файлы» (здесь вы дважды проверяете, что шаг 6 был абсолютно правильным, прежде чем использовать этот параметр).

Дайте объекту групповой политики время для репликации и применения (gpupdate /force может помочь здесь, если вы спешите), и теперь вы должны обнаружить, что пользователи не могут создавать файлы в корне диска c. На данный момент они действительно должны иметь разрешение только на свою собственную папку внутри \ users.

Я нашел решение проблемы в упомянутом здесь исправлении реестра:

https://social.technet.microsoft.com/Forums/office/en-US/b168408e-a540-4e3a-92cc-3121486ceb78/admin-shares-available-to-nonadministrative-users-over-loopback-address?forum= Winserversecurity

Я протестировал, и он работает. Я развернул изменение через групповую политику, и компьютеры получили изменение.

В этом посте также обсуждается, как это изменение произошло при переходе с Windows 2003 на Windows 2008:

"Это происходит из-за того, что в Windows Server 2008 было изменено разрешение общего ресурса по умолчанию для административного общего ресурса, что позволяет активной учетной записи входа в систему получать доступ к административным общим ресурсам.

Разрешение общего ресурса по умолчанию для административного общего ресурса контролируется значением реестра HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ DefaultSecurity \ SrvsvcShareAdminConnect.

Чтобы настроить Windows Server 2008 для работы так же, как Windows Server 2003, мы можем экспортировать указанное выше значение реестра из Windows Server 2003 и импортировать его в Windows Server 2008. Обратите внимание: нам необходимо перезапустить сервер, чтобы изменения вступили в силу. "