Административные общие папки (шары, ресурсы) в Windows используются для удаленного доступа и управление компьютером. Windows по-умолчанию создает следующие административные шары:
-
Admin$
— Remote Admin (это каталог%SystemRoot%
) – используется для удаленного администрирования компьютера; -
IPC$
— Remote IPC — используется для коммуникации программ named pipes) -
C$
— Default Share. Расшаренный системный диск. Если на компьютере есть другие диски с назначенными буквами, они также автоматически публикуются в виде административных общих ресурсов (D$
,E$
и т.д.); -
Print$
— публикуется, если вы открыли общий доступ к принтеру (используется, чтобы открыть доступ к каталогу с драйверами принтеровC:Windowssystem32spooldrivers
); -
FAX$
— используется для общего доступа к факс-серверу.
Использование административных шар в Windows
Список административных папок на компьютере можно вывести в консоли управления компьютером compmgmt.msc
( System Tools -> Shared Folders -> Shares, Общие папки -> Общие ресурсы), выполнив команду net share
.
Имена общих административных шар заканчиваются знаком $. Служба LanmanServer скрывает общие папки с символом $ в сетевом окружении . Если в проводнике открыть список доступных сетевых папок на компьютере ( \computername
), административные шары не будут показаны.
Можно получить список доступных административных шар на удаленном компьютере с помощью команды:
net view \computername /all
Чтобы открыть содержимое административной шары из File Explorer, нужно указать ее полное имя. Нажмите Win+R, и выполните команду \computernamec$
.
Данная команда откроет содержимое локального диска C и позволит вам получить полноценный доступ к файловой системе системного диска удаленного компьютера.
Получить доступ к административным шарам могут только члены локальной группы администраторов компьютера (и группы Backup Operators) при условии, что у вас включен SMB протокол , общий доступ (Turn on file and printer sharing) и доступ по 445 порту TCP не блокируется Windows Defender Firewall .
Как удалить общие административные шары в Windows?
Административные общие папки Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности. Вы можете полностью запретить Windows создавать эти скрытые папки. Это не нарушит работу компьютера Windows, использующегося в качестве клиента, но ограничит его удаленное администрирование.
Чтобы отключить общую административную папку, выберите опцию Stop sharing в консоли Computer Management (или выполните команду net share IPC$ /delete
). Это удалит общую административную папку, но по после перезагрузки компьютера Windows пересоздаст ее автоматически.
Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLMSystemCurrentControlSetServicesLanmanServerParameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением 0 .
Можно создать это параметр реестра вручную, из командной строки reg add:
reg add HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters /f /v AutoShareWks /t REG_DWORD /d 0
или через PowerShell:
New-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Type DWORD -Value 0
Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec .
В доменной сети вы можете запретить публиковать локальные диски компьютеров в качестве административных шар с помощью групповых политик:
- Создайте новую GPO в консоли GPMC . Перейдите в раздел Computer Configuration -> Preferences -> Windows Settings -> Network Shares;
- Выберите Action: Delete и включите опцию Delete all administrative drive-letter shares .
Включить административные общие папки в Windows
Если вы хотите включить административные сетевые папки, нужно изменить значение параметра на 1 или удалить его.
Set-ItemProperty -Name AutoShareWks -Path HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters -Value 1
Административные шары публикуются службой LanmanServer. Если эта служба остановлена, удаленные пользователи не смогут получить доступ к общим ресурсам на этом компьютере.
Get-Service LanmanServer
Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:
Get-service LanmanServer | restart-service
Выполните команду PowerShell Get-SmbShare и проверьте, что административные шары стали доступны.
Разрешить удаленный доступ к административным папкам Windows
На компьютерах, добавленных в домен AD , удаленный доступ к административным шарам разрешен пользователям, состоящим в локальной группе администраторов .
Однако Windows по-умолчанию блокирует удаленный доступ к административным шарам на компьютерах в рабочей группе (Workgroup). При попытке открыть в проводнике список файлов на таком компьютере с помощью команды win10_pcC$
появляется запрос пароля. После ввода учетных данных локального пользователя из группы локальных администраторов появляется ошибка доступа (Access is denied). Удаленный доступ к административным шарам возможен только под встроенным администратором Windows .
Удаленный доступ к административным шарам в этом случае блокируется компонентом Remote UAC ( контроль учетных записей для удаленных подключений). Remote UAC фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ к папкам. При доступе под доменным аккаунтом такое ограничение не применяется.
Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy
- Откройте редактор реестра ( regedit.exe );
- Перейдите в ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem ;
- Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy;
- Установите значение параметра LocalAccountTokenFilterPolicy равным 1;
- Для применения изменений потребуется перезагрузить компьютер
reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
После перезагрузки попробуйте удаленно открыть административный каталог C$ на компьютере Windows. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов.
Должно открыться окно проводника с содержимым диска.