Windows：ドメイン管理者であっても、ローカルドライブのリモートアクセスを無効にする

Yan LiによるTechnetフォーラムからのこの投稿 はそれを十分に簡単に説明しています：

Administratorsグループのみが管理共有にアクセスできます。Administratorsグループに移動し、管理共有にアクセスする必要のないユーザーとグループを削除してください。

複数のクライアントPCの場合、以下のようにいずれかのマシンでそれらを無効にし、レジ​​ストリキーをエクスポートしてから、GPOインポートします。

デフォルトの共有を無効にします。

Windowsは、システムアカウントで使用するために、各インストールで非表示の共有を開きます。 （ヒント：コマンドプロンプトからNET SHAREと入力すると、コンピューター上のすべての共有フォルダーを表示できます。）既定の管理共有は2つの方法で無効にできます。

1つは、サーバーサービスを停止または無効にすることです。これにより、コンピューター上のフォルダーを共有する機能が削除されます。 （ただし、他のコンピューターの共有フォルダーには引き続きアクセスできます。）サーバーサービスを無効にする場合（[コントロールパネル]> [管理ツール]> [サービス]を使用）、必ず[手動]または[無効]をクリックしてください。再開した。

もう1つの方法は、レジストリを介してHKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parametersを編集する方法です。サーバーの場合は、REG_DWORD値が0のAutoShareServerを編集します。ワークステーションの場合は、AutoShareWksを編集します。これらの共有を無効にすると、セキュリティが強化されますが、アプリケーションで問題が発生する可能性があることに注意してください。実稼働環境でこれらを無効にする前に、ラボで変更をテストしてください。デフォルトの隠し共有は次のとおりです。

共有：

C $ D $ E $

パスと機能：

各パーティションのルート。AdministratorsまたはBackup Operatorsグループのメンバーのみがこれらの共有フォルダーに接続できます。 Windows 2000 Serverコンピュータの場合、Server Operatorsグループのメンバーもこれらの共有フォルダに接続できます。

それでも、これを行うことはお勧めできません。ドメイン管理者がアクセスできる必要があるものへのアクセスを禁止しています。家主が入らないように、アパートの鍵を変更するのと同じです。

TrueCryptのようなサードパーティの暗号化ユーティリティで暗号化ボリュームを使用します。

これは、管理者が本来持つべきでないデータにアクセスできないようにする唯一の方法です。正直な管理者には十分ですが、キーロガーをインストールしたり、リモートアクセスツールを使用してボリュームがロックされていない状態でボリュームコンテンツを表示したりできる悪意のある管理者には十分ではありません。

管理者をデータからロックアウトする理由について不思議に思う人は、デフォルトでは、財務データ、個人の従業員の詳細、研究データなど、管理者があらゆる種類の機密データにアクセスできるのは単に悪い習慣です。彼らはすべきではない。

IT管​​理者の仕事の一部は、単一の管理者アカウントが危険にさらされて侵入者がすべての会社のデータへの完全なアクセス権を持つことにつながらないようにすることです。

誰について、そしてなぜ特定の情報がネットワーク上のコンピューターでアクセスされるべきなのか、そしてなぜこの特定の情報がネットワーク化されたコンピューター上で最初に必要なのかについて書かれた会社の方針はありますか？これがこのオフィスのみのデータである場合は、追加のラップトップの予算を立てるか、実際のオフィスでのみアクセスできる古い「オフライン」コンピュータを使用してみませんか？金庫の中のラップトップは簡単に盗まれたり、アクセスされたりすることはありません。火災、洪水、竜巻、中国、インドなどのハッカーなど。必要な場合にのみ接続してください。