Default Shares unterbinden

[MAGIC_86 10]

Hallo Community,

 

Ich habe ein Script geschrieben (weiter unten..) welches die Default Shares (Administrative Freigaben) bei Clients unterbinden soll.

 

Damit ich nicht selber das Script auf jedem Client ausführen muss, habe ich mir überlegt das Script per Rechtefreigabe vom Win Server 2003 auf jeden Client beim Neustart als Logon Script ausführen zu lassen.

 

Nähere Infos dazu hier: Erstellung und Verwendung eines Login-Skripts

 

Was halten Ihr von der Idee? Habt Ihr schon Erfahrungen mit dem unterbinden von Default Shares?

 

Ich danke euch im Voraus für ein paar hilfreiche Tipps.

 

Viele Grüße. :)

 

 

@echo off

if exist a:\\nul net share a$ /DELETE

if exist b:\\nul net share b$ /DELETE

if exist c:\\nul net share c$ /DELETE

if exist d:\\nul net share d$ /DELETE

if exist e:\\nul net share e$ /DELETE

if exist f:\\nul net share f$ /DELETE

if exist g:\\nul net share g$ /DELETE

if exist h:\\nul net share h$ /DELETE

if exist i:\\nul net share i$ /DELETE

if exist j:\\nul net share j$ /DELETE

if exist k:\\nul net share k$ /DELETE

if exist l:\\nul net share l$ /DELETE

if exist m:\\nul net share *** /DELETE

if exist n:\\nul net share n$ /DELETE

if exist p:\\nul net share p$ /DELETE

if exist q:\\nul net share q$ /DELETE

if exist s:\\nul net share s$ /DELETE

if exist t:\\nul net share t$ /DELETE

if exist u:\\nul net share u$ /DELETE

if exist v:\\nul net share v$ /DELETE

if exist w:\\nul net share w$ /DELETE

if exist x:\\nul net share x$ /DELETE

if exist y:\\nul net share y$ /DELETE

if exist z:\\nul net share z$ /DELETE

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /v AutoShareWks /t reg_dword /d 00000000 /f

[blub 115]

 

Was halten Ihr von der Idee? Habt Ihr schon Erfahrungen mit dem unterbinden von Default Shares?

 

 

nicht viel

Overview of problems that may occur when administrative shares are missing

 

cu

blub

[XP-Fan 215]

Hallo MAGIC_86 und herzlich Willkommen,

 

Was halten Ihr von der Idee? Habt Ihr schon Erfahrungen mit dem unterbinden von Default Shares?

 

was willst du denn erreichen bzw warum willst du die Shares entfernen ?

[s_sonnen 20]

Hi MAGIC_86.

 

Ich denk' mal die Probleme dürften den Vorteilen deutlich überlegen sein (siehe blubs link), ... aber mich würde auch interessieren aus welchem Grund Du diese Freigaben unterbinden möchtest.

 

ciao und 'nen angenehmen Resttag

M.

[MAGIC_86 10]

Hallo Kollegen,

 

ja gut der Grund ist weil mein Chefe das so haben will :)

und weil das Passwort, welches bei der Administrative/n Freigabe/Zugriff abgefragt wird, jeder in der Firma kennt.

 

Jetzt nochmal speziell zur ersten Antwort vom "blub"->

Ich und ein Kollege von mir haben die Freigaben schon seit längerem deaktiviert und haben dadurch keine Einschränkungen bemerkt. Als könnte man doch davon ausgehen dass bei den anderen auch alles glatt laufen wird, oder?

[MAGIC_86 10]

... ganz vergessen, ein großes DANKE für die schnellen antworten an alle ...

[marka 584]

Ich selber habe in einem Netzwerk als damaliger Anfänger auch in einem Anfall von Paranoia die administrativen Shares entfernt und stand deswegen kurz vorm Rauswurf, weil gar nichts mehr ging...

 

Weiser und ernst gemeinter Rat: Lass' die Finger von so was.

[XP-Fan 215]

ja gut der Grund ist weil mein Chefe das so haben will :)[/Quote]

Das ist ein Grund, aber noch kein zwingender.

und weil das Passwort, welches bei der Administrative/n Freigabe/Zugriff abgefragt wird, jeder in der Firma kennt.

Jetzt wird die Sache kritisch denn das Passwort was abgefragt wird ist ein Admin Passwort

und wenn es bei allen Rechnern gleich ist solltest du darüber nachdenken ob man nicht

besser am Problem ansetzt und nicht Kosmetik betreibt.

 

Die Adminshares haben durchaus Vorteile wenn man diese nutzt. :)

[blub 115]

 

Jetzt nochmal speziell zur ersten Antwort vom "blub"->

Ich und ein Kollege von mir haben die Freigaben schon seit längerem deaktiviert und haben dadurch keine Einschränkungen bemerkt. Als könnte man doch davon ausgehen dass bei den anderen auch alles glatt laufen wird, oder?

 

Vergesst aber bitte vorher nicht, alle eure Backups zu löschen. Nur dann gibts den richtigen Thrill, wenn ihr das Skript auf alle Rechner (PCs und Server!) gleichzeitig loslasst.

[s_sonnen 20]

Ich selber habe in einem Netzwerk als damaliger Anfänger auch in einem Anfall von Paranoia die administrativen Shares entfernt und stand deswegen kurz vorm Rauswurf, weil gar nichts mehr ging...

 

Jaa, so hab' ich das als rookie auch gemacht ... :D, ... und jaaa, 's Ergebnis war auch das Gleiche ;)

 

ciao und 'nen angenehmen Resttag

M.

[zahni 521]

Übrigens,

 

wenn ich mich richtig erinnere, kann man, so man das Admin-Passwort kennt, auch remote neue Freigaben erzeugeen. Dabei ist es egal, die Admin-Freigaben da sind, oder nicht. Also bringt das Löschen der Freigaben aus dieser Richtung nichts.

Abhilfe hier: Den Serverdienst bzw. die "Datei und Druckerfreigabe" komplett deaktivieren. Dann kommt auch kein Admin mehr remote auf den Pc oder Server ;) .

 

Ansonsten wie meine Vorredner: Nicht Jedem das Admin-Passwort geben. Benutzerrechte reichen völlig aus.

 

-Zahni

[MAGIC_86 10]

Okay, ich glaube Ihr habt mich hier vor etwas schlimmen bewahrt!!!

 

Ich setzte dann doch mal am Problem an. :rolleyes:

[s_sonnen 20]

... muß ja nicht jeder mit der gleichen Vehemenz gegen die Tür rennen wie wir ... .:D:D

[MAGIC_86 10]

So wir haben uns jetzt entschieden das Administrative Passwort neu zu setzen.

 

Ich vermute mal dass man das Passwort nicht nur am Server ändern muss sondern auch auf jedem Client.

 

Kann mir da jemand einen Tipp geben wie das zu bewerkstelligen ist?

Am besten auch mit einem Logon Script oder?

Oder ist das nur eine "Klick-Geschichte"?

 

...ja ich weiß ich bin ein noob^^

 

Danke im Voraus und viele Grüße euch allen.

[blub 115]

Hallo,

Ihr solltet euch einen Plan machen, wie Eure IT jetzt mit Zugriffsicherheit / Passwörtern etc. umgeht (z.b. alle Rechner haben dasselbe Administratorkennwort, das 25 Leute kennen oder alle User haben lokale Adminrechte etc.)

Und dann das Ziel, wo ihr hinwollt: z.b. User haben keine Adminberechtigungen mehr, es gibt nur noch 3 Administratoren, die individuelle Kennungen haben. Das kennwort des "Administrator" von jedem Rechner ist gleich oder unterschiedlich und sicher in einem Tresor hinterlegt.). Die Sicherheit wird nicht mehr lokal auf den Clients gesteuert, sondern über das ActivDirectory etc.

Daraus entwickelst du eine Umsetzungsplan, der sich an euren Gegebenheiten orientiert. (z.B. alle Rechner vor Ort oder Zweigstelle in Honululu)

 

Sowas wie einen Changeprozess mit Qualitätssicherung ist auch sinnvoll. War ja wohl eher zufällig, dass ihr dein Skript zum Löschen der Admin-Shares nicht losgeschossen habt

 

Prozesse zu ändern ist immer wesentlich schwieriger, als ein paar technische Probleme zu lösen

 

cu

blub