Share amministrative

Per impostazione predefinita il servizio server crea all’avvio le seguenti condivisioni nascoste (identificate dal simbolo $ alla fine del nome della condivisione) ad uso amministrativo:

  • Le partizioni e i volumi vengono condivisi creando una share con la lettera assegnata alla partizione o al volume seguita dal simbolo $ (ad esempio C$, D$)
  • La directory di sistema (%SYSTEMROOT%) viene condivisa col nome ADMIN$ per consentire agli amministratori un veloce accesso remoto in ambiente di rete.
  • La share FAX$ utilizzata dai client per inviare fax e in cui viene mantenuta la cache dei file e le pagine di copertina. Questa condivisione viene creata solo su sistemi in cui è installato il servizio fax in modalità condivisa.
  • La condivisione IPC$ utilizzata da connessioni temporanee tra client e server che fanno uso di named pipe per le comunicazioni tra programmi in rete. Viene utilizzata principalmente per amministrare in remoto server di rete e per visualizzare le condivisioni disponibili di un computer. Questa condivisione non può essere rimossa.
  • La condivisione PRINT$ (%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS ) utilizzata per l’amministrazione remota delle stampanti.
  • Netlogon creata sui Domani Controller e utilizzata dal servizio Net Logon durate il gestione delle richieste di logon al dominio, nei sistemi Pre-Windows 2000 veniva utilizzata per memorizzare i logon scripts (è ancora possibile utilizzarla per questo scopo, ma a partire da Windows 2000 la best practies è utilizzare una group policy per gestire gli script di logon).

Tali condivisioni amministrative nascoste possono essere utilizzate dagli amministratori, dai programmi e da servizi per gestire i computer in rete.

Sebbene sia possibile eliminare tali condivisioni tramite NET USE con l’opzione /DELETE o tramite Gestione Computer (compmgmt.msc), queste verranno ricreate automanticamente al riavvio del sistema o al riavvio del servizio Server (come potrà essere verificato mediante l’uso del comando NET SHARE).

Per disabilitare la creazione automatica delle condivisioni Workstation è possibile impostare a 0 la seguente chiave di registry di tipo DWORD:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoShareWks

Mentre per disabilitare la creazione automatica delle condivisioni Server è possibile impostare a 0 la seguente chiave di registry di tipo DWORD:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoShareServer

Dopo la modifica delle chiavi di registro, perchè vengano rimosse le condivisioni aministrative è necessario riavviare il servizio Server o riavviare il sistema.

Volendo è possibile creare un file ADM (ovvero un Custom Administrative Template) per impostare via Group Policy le registry keys con il seguente contenuto:

CATEGORY !!DefaultShares

POLICY !!DefaultSharesWKS
    EXPLAIN !!EnableDefaultShares_Explain
    VALUENAME “AutoShareWks”
    VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
    KEYNAME “SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”
END POLICY

POLICY !!DefaultSharesSRV   
    EXPLAIN !!EnableDefaultShares_Explain
    VALUENAME “AutoShareServer”
    VALUEON NUMERIC 1
            VALUEOFF NUMERIC 0
    KEYNAME “SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”
END POLICY

END CATEGORY

[strings]
DefaultSharesWKS=”Default Workstation Admin Shares”
DefaultSharesSRV=”Default Server Admin Shares”
EnableDefaultShares_Explain=”Enables default Admin shares”
DefaultShares=”Default Shares”

Per ulteriori informazioni su come scrivere file ADM Custom si vedano:

Come indicato nei seguenti Threats and Countermeasures Guide: Security Settings in Windows Server 2003 and Windows Vista e Pericoli e contromisure Capitolo 10: Voci aggiuntive di registro la disabilitazione delle share aministrative workstation (AutoShareWks=0) può essere indicato per ambienti di rete ad elevata sicurezza (insieme ad altre impostazioni).

Prima di disabilitare le condivisioni amministrative occore valitare se non esistano particolari applicaioni che ne fanno uso, mentre per quelle server (AutoShareServer=0) se vienne utilizzato il servizio che la utilizza non  è ragionevole disabilitare. A riguardo si vedano:

Di seguito riporto altri utili riferimenti: