Управление административными общими ресурсами (админ-шарами) в Windows
Разберёмся, что такое административные сетевые ресурсы (админ-шары), для чего они нужны, как их включать/отключать и удалять, и что делать с ошибкой "Отказано в доступе" (Access is denied) при входе в админ-шару.
Что есть «админ-шара» и с чем её едят?
Общие сетевые ресурсы («шары», от англ. «share» – «делиться») используются для получения доступа к ресурсам на другом компьютере с использованием сетевого подключения.
Например: к компьютеру А по USB подключен принтер, не умеющий работать по сети. При этом, поблизости находится компьютер Б, которому так же необходимо печатать документы на данный принтер. Проще всего это сделать, "расшарив" принтер в сеть, и с компьютера Б отправлять задание печати на компьютер А, а с компьютера А это задание будет автоматически перебрасываться на принтер. В данном случае этот принтер будет называться расшаренным (shared printer).
То же самое можно выполнить с папками: дать доступ на чтение/запись из/в них по сети, и любой (или определённый) пользователь сможет подключиться к компьютеру, выполняющему роль файлового сервера, прочитать, скопировать или записать документы в расшаренную сетевую папку.
Шары подразделяются на пользовательские (которые создаёт сам пользователь, например: для организации файлового сервера в пределах локальной сети, или для обеспечения многопользовательского доступа к принтерам) и административные, которые ОС Windows создаёт автоматически для обеспечения работы некоторых функций ОС.
По-умолчанию Windows создаёт следующие админ-шары:
Admin$
– расшаренный каталог%SystemRoot%
(обычно – C:\Windows)IPC$
– Remote IPC (используется для сервисов "Удалённый реестр" (RRC), psexec и пр.)C$
– расшаренный раздел дискаC:
. В случае, если на компьютере имеются другие разделы, которым назначены буквы диска, под них так же будут созданы админ-шары (D$
,E$
и т.д.)
Помимо этого, в случае включения общего доступа к любому принтеру – будет создана шара Print$
, а в случае включения факс-сервера – FAX$
.
Просмотреть активные шары можно двумя способами:
- С использованием CMD/PowerShell, команда:
net share
: - С использованием средства «Управление компьютером»: Служебные программы – Общие папки – Общие ресурсы (System Tools – Shared Folders – Shares):
Как можно заметить, все админ-шары имеют на конце имени символ доллара – $
. С помощью этого символа служба LanmanServer скрывает шару при SMB доступе, из-за чего админ-шары не отображаются, например, при входе на сетевой ресурс из стандартного "Проводника" Windows. Однако стоит упомянуть, что в большинстве сторонних файловых менеджеров, предусмотрен функционал, позволяющий показывать админ-шары на удалённых устройствах.
Помимо сторонних файловых менеджеров, просмотреть список админ-шар на удалённых устройствах можно с помощью CMD/PowerShell, команда: net view \\имя_компьютера /all
Доступ к админ-шарам, как и к любым сетевым ресурсам, происходит по пути: \\имя_компьютера\имя_шары
.
Для доступа к админ-шаре необходимо соблюдение следующих условий:
- И на целевой машине, и на машине, с которой производится попытка получить доступ – должна быть включена поддержка SMB:
Панель управления – Программы и компоненты – Включение или отключение компонентов Windows – Поддержка общего доступа к файлам SMB 1.0/CIFS (Control Panel – Programs and Features – Turn Windows features on or off – SMB 1.0/CIFS File Sharing Support) - На целевой машине должен быть включен общий доступ:
Панель управления – Центр управления сетями и общим доступом – Изменить дополнительные параметры общего доступа (Control Panel – Network and Sharing Center – Change advanced sharing settings), в разделе текущего профиля (current profile) включить всё: - Файерволлы/брандмауэры (в т.ч. Защитник Windows (Windows Defender)) не должны блокировать доступ по порту TCP 445
- Пользователь, от имени которого происходит авторизация на целевой машине, должен числиться в локальной группе администраторов целевой машины:
Управление компьютером – Локальные пользователи и группы – Пользователи – Свойства пользователя – Членство в группах (Computer Management – Local Users and Groups – Users – Properties – Member Of). Необходимо добавить пользователя в группу "Администраторы" (или "Administrators" – для редакции Windows с английской локализацией).
При соблюдении всех вышеперечисленных условий, доступ к админ-шарам должен появиться.
В случае, если при попытке доступа к админ-шарам появляется ошибка «Отказано в доступе» – способ решения в конце статьи.
Как прекратить общий доступ к админ-шарам
Так или иначе, админ-шары – это брешь в безопасности. Потому, в случае, если админ-шары не используются – есть смысл их удалить.
Прекратить общий доступ к ресурсам можно через CMD/PowerShell или Управление компьютером.
- Через CMD/PowerShell:
net share имя_шары /delete
, например:net share ADMIN$ /delete
- Через Управление компьютером:
Управление компьютером – Служебные программы – Общие папки – Общие ресурсы – ПКМ по ресурсу – Прекратить общий доступ (Computer Management – System Tools – Shared Folders – Shares – ПКМ – Stop Sharing):
Данный способ – ручное прекращение доступа к общим ресурсам. Однако, в будущем, при некоторых манипуляциях с ОС (перезапуск службы сервера Lanman, расшаривание принтеров, включение-отключение факса, подключение дисков или создание разделов, пр.), админ-шары продолжат создаваться автоматически.
Для того, чтобы этого не происходило, необходимо внести изменения в реестр, в ветку HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
.
Изменяем или создаём DWORD32 параметр AutoShareWks
(для Windows Desktop) или AutoShareServer
(для Windows Server) и присваиваем ему значение 0
.
Сделать это можно:
- С помощью редактора реестра (regedit) в графической среде
- Через CMD:
Desktop:reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareWks /t REG_DWORD /d 0 /f
Server:reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v AutoShareServer /t REG_DWORD /d 0 /f
- Через PowerShell:
Desktop:New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareWks -Type DWORD -Value 0
Server:New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Name AutoShareServer -Type DWORD -Value 0
Отныне, после перезагрузки компьютера админ-шары не будут создаваться автоматически. Вместе с этим перестанут работать встроенные утилиты удалённого управления компьютером.
Как вернуть автоматическое создание и восстановить стандартные админ-шары
Для включения автоматического создания админ-шар необходимо в реестре, в разделе HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
изменить значение параметра AutoShareWks
или AutoShareAuto
на 1
или вовсе удалить этот параметр.
Для восстановления стандартных админ-шар, достаточно после включения автоматического создания админ-шар перезапустить службу LanmanServer:
- CMD:
sc stop LanmanServer & ping -n 10 0.0.0.0 > nul & sc start LanmanServer
- PowerShell:
Restart-Service LanmanServer
- Управление компьютером:
Управление компьютером – Службы и приложения – Службы – Служба «Сервер» – Перезапустить (Computer Management – Services and Applications – Services – «Server» – Restart)
После произведённых манипуляций, стандартные админ-шары должны быть созданы.
«Отказано в доступе» или «Access is denied» при попытке входа в админ-шару
Начиная с Windows Vista, Microsoft ввели UAC – инструмент повышения безопасности ОС. В частности, один из компонентов UAC – Remote UAC, может мешать в получении доступа к админ-шарам, если компьютер находится не в домене. Для отключения данного компонента, необходимо внести изменения в реестр на целевой машине.
Для этого в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Создайте параметр типа DWORD32 с именем LocalAccountTokenFilterPolicy
и задайте ему значение 1
.
В некоторых случаях требуется перезагрузить компьютер для применения изменений.
Это же действие можно выполнить с помощью команды CMD/PS:reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После проведённых манипуляций, доступ к админ-шарам должен появиться.
- Комментарии