Включаю File Sharing в MacOS (последняя версия на официальном девайсе). Указываю папку.
При подключении из винды по smb — вижу эту папку + системный диск целиком с правами на запись + папку пользователя с правами на запись. Проверил — ни диск ни папка не помечены как Shared. Что за?
На MS Windows как раз такое поведение, и по-видимому оно и было скопировано.
Чем не устраивает решение через смену настроек VirtualAdminShares/VirtualHomeShares ?
Re[2]: MacOS сама открывает доступ к системному диску
П>Это скрытые шары, и стандартно они не видны. И что-то я сомневаюсь, что они доступны всем на запись
"Скрытость" на права доступа никак не влияет.
Права на административные шары по умолчания конечно есть только у "администраторов".
Более того, даже если бы на шаре были "лишние" права, результирующий доступ был бы ограничен сверху правами файловой системы (NTFS).
Полагаю, что на MacOS всё ровно также, т.к. у кого именно есть права на запись ТС не упомянул (и по ссылке на stackexchange о каком-то аномальном избыточном доступе не сообщается).
File Sharing allows other users to access shared folders on this computer and allows administrators to access all volumes.
Re[6]: MacOS сама открывает доступ к системному диску
Здравствуйте, m2user, Вы писали:
П>>Это скрытые шары, и стандартно они не видны. И что-то я сомневаюсь, что они доступны всем на запись
M>"Скрытость" на права доступа никак не влияет.
Это да. Но Shmj говорит, что макосевые шары видны из винды без приседаний, значит, поведение макоси уже не такое, как у винды
Re[6]: MacOS сама открывает доступ к системному диску
Здравствуйте, m2user, Вы писали:
M>"Скрытость" на права доступа никак не влияет. M>Права на административные шары по умолчания конечно есть только у "администраторов". M>Более того, даже если бы на шаре были "лишние" права, результирующий доступ был бы ограничен сверху правами файловой системы (NTFS).
M>Полагаю, что на MacOS всё ровно также, т.к. у кого именно есть права на запись ТС не упомянул (и по ссылке на stackexchange о каком-то аномальном избыточном доступе не сообщается).
В Windows расшарил папки и по сети вижу только эту папку. Пользователь в Windows с правами админа.
В MacOS расшарил папку и кроме этой папки — вижу еще системный диск с правами на запись и папку пользователя с правами на запись. Тоже пользователь с правами админа.
Получается, если я подключусь в публичной сети WiFi — то максимум что можно сделать с Windows, подсмотрев пароль — получить доступ к расшаренной папке. А в MacOS можно сделать все — т.к. доступен системный диск с правами на запись.
Считаете ли вы это нормальным?
З.Ы.
Проверил доступ к скрытой шаре по пути
\\COMP_NAME\C$
— не дает войти. Т.е. т.н. скрытые шары в Windows по умолчанию не доступны. А в MacOS по умолчанию доступ к системному диску с правами на запись.
S>В Windows расшарил папки и по сети вижу только эту папку. Пользователь в Windows с правами админа. S>З.Ы. S>Проверил доступ к скрытой шаре по пути S>\\COMP_NAME\C$ S>- не дает войти. Т.е. т.н. скрытые шары в Windows по умолчанию не доступны. А в MacOS по умолчанию доступ к системному диску с правами на запись.
Как именно не дает и под каким пользователем?
Ошибка может быть типа:
rpc unavailable (file sharing отключен, либо закрыт файерволом)
network path not found (каталог не расшврен)
access denied (нет прав)
S>Получается, если я подключусь в публичной сети WiFi — то максимум что можно сделать с Windows, подсмотрев пароль — получить доступ к расшаренной папке. А в MacOS можно сделать все — т.к. доступен системный диск с правами на запись.
В публичной (недоверенной) сети SMB порты закрыты файрволом.
В доверенной сети имея доступ к административной учетке можно воспользоваться любым Windows сервисом торчащим в сеть, а их гораздо больше чем SMB share: Remote desktop, task scheduler, service controller.
S>В MacOS расшарил папку и кроме этой папки — вижу еще системный диск с правами на запись и папку пользователя с правами на запись. Тоже пользователь с правами админа. S>Считаете ли вы это нормальным?
Считаю что, это также как в MS Windows с несущественными отличиями.
Твой эксперимент с MS Windows что-то не учитывает, просто потому что на доступ к административным share полагается куча софта.
Re[8]: MacOS сама открывает доступ к системному диску
Здравствуйте, m2user, Вы писали:
M>Как именно не дает и под каким пользователем?
По клику значке удаленного компа с Windows из другого компа на Windows — спрашивает имя/пароль. Ввожу пользователя удаленного компа, который состоит в группе Administrators. Только что еще раз проверил — есть Administrators у этого пользователя в Member Of.
После ввода пароля отображает ровно ту папку, которую расшарил. Других не отображает.
M>Ошибка может быть типа: M>rpc unavailable (file sharing отключен, либо закрыт файерволом) M>network path not found (каталог не расшврен) M>access denied (нет прав)
Пытаюсь ввести вручную \\имя компьютера\$C — долго крутит и выдает ошибку Windows cannot access ... В деталях — номер ошибки 0x80004005
M>В публичной (недоверенной) сети SMB порты закрыты файрволом.
Каким фаяволом? На MacOS он по умолчанию отключен. Так же не спрашивает доверять сети или нет при подключении к WiFi.
M>В доверенной сети имея доступ к административной учетке можно воспользоваться любым Windows сервисом торчащим в сеть, а их гораздо больше чем SMB share: Remote desktop, task scheduler, service controller.
Remote Desktop по умолчанию выключен в десктопных версиях ОС. Кроме того, если подключатся по RDP — я об этом узнаю, меня же выбросит.
Остальное что проверить? Что по умолчанию включено и что можно использовать, чтобы я об этом не узнал?
S>>В MacOS расшарил папку и кроме этой папки — вижу еще системный диск с правами на запись и папку пользователя с правами на запись. Тоже пользователь с правами админа. S>>Считаете ли вы это нормальным?
M>Считаю что, это также как в MS Windows с несущественными отличиями. M>Твой эксперимент с MS Windows что-то не учитывает, просто потому что на доступ к административным share полагается куча софта.
Да вроде все учитывает.
=сначала спроси у GPT=
Re[9]: MacOS сама открывает доступ к системному диску
S>Пытаюсь ввести вручную \\имя компьютера\$C — долго крутит и выдает ошибку Windows cannot access ... В деталях — номер ошибки 0x80004005
вероятно это проблема протоколов SMB1/SMB2.
(клиент поддерживает только SMB1, а на сервере Win10 он по умолчанию отключен)
на неадминистративную share это клиент успешно попадает?
M>>В публичной (недоверенной) сети SMB порты закрыты файрволом. S>Каким фаяволом? На MacOS он по умолчанию отключен. Так же не спрашивает доверять сети или нет при подключении к WiFi.
А вот это уже не есть хорошо.
S>Остальное что проверить? Что по умолчанию включено и что можно использовать, чтобы я об этом не узнал?
В оснастке compmgmt.msc выбираешь "Connect to remote..." в контекстном меню корневой ноды.
По умолчанию для адм. пользователя скорее всего будет доступно Local users and groups и Shared Folders (остальное закрыто файерволом).
(там же кстати и полный список shared folders можно посмотреть)
Дополнение: если на клиенте включен UAC, то алгоритм работы с compmgmt.msc будет несколько сложнее.
M>>Твой эксперимент с MS Windows что-то не учитывает, просто потому что на доступ к административным share полагается куча софта. S>Да вроде все учитывает.
Здравствуйте, m2user, Вы писали:
M>вероятно это проблема протоколов SMB1/SMB2. M>(клиент поддерживает только SMB1, а на сервере Win10 он по умолчанию отключен) M>на неадминистративную share это клиент успешно попадает?
Попробовал 2 Windows 10 с настройками по умолчанию (в прошлый раз подключался к Windows 11 из 10).
1. Обычную папку — дает зайти, дает создать файлы и т.д. Админ и там и там.
2. В $C — зайти не дает, ошибка та же самая.
M>В оснастке compmgmt.msc выбираешь "Connect to remote..." в контекстном меню корневой ноды. M>По умолчанию для адм. пользователя скорее всего будет доступно Local users and groups и Shared Folders (остальное закрыто файерволом). M>(там же кстати и полный список shared folders можно посмотреть) M>Дополнение: если на клиенте включен UAC, то алгоритм работы с compmgmt.msc будет несколько сложнее.
Подключился, но Local Users — пустой, создать пользователя не дает — пишет нет прав.
S>Попробовал 2 Windows 10 с настройками по умолчанию (в прошлый раз подключался к Windows 11 из 10).
S>1. Обычную папку — дает зайти, дает создать файлы и т.д. Админ и там и там. S>2. В $C — зайти не дает, ошибка та же самая.
Т.к. ты уже второй раз в сообщениях ошибочно пишешь $C вместо C$, у меня появляются подозрения, что эта опечатка имеет место и в эксперименте...
Также смотри мои замечания по поводу UAC ниже.
S>Подключился, но Local Users — пустой, создать пользователя не дает — пишет нет прав. S>Shared Folders именно в этом управлении компом для удаленного — пишет "доступ закрыт" при просмотре.
Это следствие либо того, что UAC включен на клиенте (и не подцепились credentials, введенные для доступа к share) и/или на сервере.
(скорее всего на клиенте, т.к. во втором случае, ты бы увидел readonly список пользователей).
S>Но на практике вы проверяли 2 компа с настройками по умолчанию?
На практике я админскими шарами регулярно пользуюсь.
Но с настройками по умолчанию есть нюансы:
UAC, если я не ошибаюсь, по умолчанию включен для членов групп Администраторы, кроме встроенной учетки Админстратора.
Для локальных пользователей, на которых распространяется действие UAC, также ограничивается удаленный неинтерактивный доступ.
Выражается это в том, что права администратора урезаются до обычного пользователя.
(подробнее тут https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/user-account-control-and-remote-restriction)
Т.е. если на административную учётку на SMB сервере распространяется действие UAC, то работать при неинтерактивном удаленном доступе она будет как обычная пользовательская.
Как следствие не будет доступа к адм.шарам, управление Local Users и т.п.
Данное ограничение не распространяется на нелокальных (доменных) членов группы Администраторы.
Здравствуйте, m2user, Вы писали:
M>Это следствие либо того, что UAC включен на клиенте (и не подцепились credentials, введенные для доступа к share) и/или на сервере. M>(скорее всего на клиенте, т.к. во втором случае, ты бы увидел readonly список пользователей).
Так все по умолчанию — скачал Windows 10 с сайта и установил без каких-либо настроек. По идее UAC включен, конечно.
Получается тогда по умолчанию не даст ничего сделать, имея пароль пользователя с админскими правами?
=сначала спроси у GPT=
Re[13]: MacOS сама открывает доступ к системному диску
S>Так все по умолчанию — скачал Windows 10 с сайта и установил без каких-либо настроек. По идее UAC включен, конечно. S>Получается тогда по умолчанию не даст ничего сделать, имея пароль пользователя с админскими правами?
Если учетка администратора встроенная, то UAC (admin approval mode for the built-in administrator account) для нее по умолчанию выключен.
С ней у злоумышленника всё получится, если файрволом не закрыто.
Re[9]: MacOS сама открывает доступ к системному диску
Здравствуйте, m2user, Вы писали:
M>Если учетка администратора встроенная, то UAC (admin approval mode for the built-in administrator account) для нее по умолчанию выключен. M>С ней у злоумышленника всё получится, если файрволом не закрыто.
Вы про серверные версии сейчас или про десктопные, которые для обычных людей? В десктопной нет такой записи — предлагает ввести имя и пароль.
=сначала спроси у GPT=
Re[15]: MacOS сама открывает доступ к системному диску
S>Вы про серверные версии сейчас или про десктопные, которые для обычных людей? В десктопной нет такой записи — предлагает ввести имя и пароль.
built-in administrator account? Она во всех версиях есть, просто может быть отключена (disabled) по умолчанию.
Через оснастку compmgmt.msc в Local Users and Groups включаешь, задаешь пароль и можешь использовать вместо той, что создал при установке.
