L'administrateur affiche TOUS les lecteurs mappés

11

Dans ma compréhension de la sécurité, un administrateur devrait être en mesure d'afficher toutes les connexions vers et depuis un ordinateur - tout comme il peut afficher tous les processus / propriétaire, les connexions réseau / processus propriétaire. Cependant, Windows 8 semble avoir désactivé cela.

En tant qu'administrateur exécutant une version élevée dans Win Vista + lorsque vous exécutez, net usevous récupérez tous les lecteurs mappés, répertoriés comme indisponibles. Dans Windows 8, la même commande exécutée à partir d'une invite élevée renvoie "Il n'y a aucune entrée dans la liste". Le comportement est identique pour PowerShell Get-WmiObject Win32_LogonSessionMappedDisk.

Une solution de contournement pour les mappages persistants doit être exécutée Get-ChildItem Registry::HKU*\Network*. Cela n'inclut pas les mappages temporaires (dans mon exemple particulier, il a été créé via l'explorateur sur un compte administrateur et je n'ai pas sélectionné "Se reconnecter à la connexion")

Existe-t-il un moyen direct / simple pour l'administrateur de visualiser les connexions de n'importe quel utilisateur (à court d'un script qui s'exécute dans chaque contexte utilisateur)? J'ai lu que certains programmes ne peuvent pas accéder aux emplacements réseau lorsque l'UAC est activé, mais je ne pense pas que cela s'applique particulièrement.

J'ai vu cette réponse, mais elle ne concerne toujours pas les lecteurs non persistants. Comment savoir quels lecteurs réseau les utilisateurs ont mappés?

command-line-interface windows-8 uac mappeddrive forensics kskid19
la source
L'applet de commande Powershell est-il Get-SmbMappingutile?
Ryan Ries
Non, même résultat. Je l'ai également testé sur Win7 hier soir (mauvaise version de PowerShell) et il donne les mêmes résultats lorsque vous obtenez une invite élevée via un utilisateur standard.
kskid19
Une commande avec une sortie plus détaillée est wmic netuse. Vous voudrez probablement écrire ceci dans un fichier et l'ouvrir en tant que valeurs séparées par des tabulations.
Jason
Du point de vue de la sécurité, une liste de mappages est inutile. On peut, après tout, accéder à ces partages directement via le chemin UNC sans jamais les mapper.
RomanSt

Réponses:

4

Sous Windows 7, si l'UAC est activé et que vous ouvrez l'invite de commande avec «Exécuter en tant qu'administrateur», vous ne verrez pas non plus les lecteurs mappés. Sur Windows 8, vous remarquerez que même lorsque l'UAC est désactivé, vous devez toujours "Exécuter en tant qu'administrateur".

La raison pour laquelle l'administrateur ne voit pas les lecteurs mappés est expliquée dans l'article Technet que vous avez lié . En un mot, vous exécutez uniquement avec un jeton Administrateur et les lecteurs mappés sont donnés au jeton utilisateur Standard. Windows 7 avec UAC désactivé exécute l'invite de commandes avec les deux jetons.

La résolution de cet article fonctionne également avec Windows 8. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, créez une valeur DWORD de EnableLinkedConnections , définissez-la sur 1 et redémarrez.

Invite de commandes de l'administrateur

Jason
la source
Cela permet de visualiser les lecteurs si vous êtes l'administrateur du système et l'utilisateur en même temps. Qu'en est-il de l'affichage des connexions non persistantes de n'importe quel utilisateur sur un système / réseau? (C'est pourquoi j'ai demandé ici au lieu de super-utilisateur)
kskid19