如何阻止访问 \\127.0.0.1\c$ 或 \\localhost\c$

Question 1

这是我最初的答案：

这确实不是默认行为，所以你遇到了一些奇怪的事情。要么是默认权限已被更改（如果我没记错的话，对于常规武器来说这并不容易），要么是他们是管理员（我知道你说他们不是，但这可能是间接成员）、高级用户或备用操作员。也可能是打印操作员。

我知道这不是您想听到的，因为您已经强调过用户不是管理员，但我已经为人们调查过这种事情几十次了，结果总是这样的：“哦，我想有一天我的同事将‘all_staff’添加到了‘管理员’组，因为首席执行官对他大喊大叫，说他不能在家里通过 RDP 进入服务器”。

这是非常错误的，但它值得保留，作为长期持有的信念没有得到足够多的检验的例证。我相信这是与早期版本的 Windows 行为的改变，但我不确定这种改变何时会发生。

我已经测试了 Windows 10 专业版和企业版，以防它们有不同的默认设置，并且用户能浏览本地管理共享，恐怕您控制它的选项相当有限。您可以按照 mdpc 的建议关闭管理共享（请参阅https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008) 以获取 Microsoft 来源）但它可能会干扰这些计算机上各种管理工具的工作方式（例如，可能会阻止自动部署代理的部署/更新）所以我真的建议不要这样做。

顺便说一句，通过 GPO 以您描述的方式隐藏驱动器与驱动器或共享的权限无关。这只会触发 Windows 中的标志来隐藏某些驱动器号。它不可靠也不强大，例如，我见过很多教育领域的管理员疯狂地试图阻止学生可以做任何事情，但这是徒劳的。

但是……虽然用户可以访问本地管理共享，但他们无法访问其他 PC 上的共享，并且他们通过共享进行的访问仍然只授予他们“通常”拥有的相同访问权限。因此，用户无法通过这种方式“破解”系统；他们无法更改他们没有权限更改的内容。

但是，您可以并且应该锁定 c:\ 驱动器的根目录。以下是一些操作说明：

转到您的 DC，打开 ADUC，为无法将文件保存到根驱动器的用户创建一个安全组（例如“锁定 c 驱动器”）。
打开 GPMC，创建一个链接到目标机器的 GPO。
编辑策略并打开[计算机配置|策略|Windows设置|安全设置|文件系统]右键单击“文件系统”，选择“添加文件...”，选择“C：”驱动器，输入。
在安全页面中，点击“高级”按钮，添加安全组‘锁定C盘’。
突出显示该组后，单击“高级”。在“高级安全设置”窗口中，确保仍选择了正确的组，然后单击“编辑”。
将类型更改为“拒绝”并将应用于更改为“仅限此文件夹”。
单击“显示基本权限”/“显示高级权限”切换按钮，您就可以看到高级权限。
仅对以下项目勾选拒绝权限：“创建文件/写入数据”和“创建文件夹/附加数据”。
单击“确定”退出权限编辑器，然后再次单击“确定”。
在拒绝权限的警告窗口中，单击是。
将安全策略设置设为“然后配置此文件或文件夹”，并选择“将可继承权限传播给所有子文件夹和文件”（在此设置生效之前，您需要仔细检查第 6 步是否完全正确）。

给 GPO 一些时间进行复制和应用（gpupdate /force如果您很着急，可以在这里提供帮助），现在您应该会发现用户无法在 c 驱动器的根目录中创建文件。此时，他们实际上应该只对 \users 中的自己的文件夹具有权限。

Answer

这是我最初的答案：

这确实不是默认行为，所以你遇到了一些奇怪的事情。要么是默认权限已被更改（如果我没记错的话，对于常规武器来说这并不容易），要么是他们是管理员（我知道你说他们不是，但这可能是间接成员）、高级用户或备用操作员。也可能是打印操作员。

我知道这不是您想听到的，因为您已经强调过用户不是管理员，但我已经为人们调查过这种事情几十次了，结果总是这样的：“哦，我想有一天我的同事将‘all_staff’添加到了‘管理员’组，因为首席执行官对他大喊大叫，说他不能在家里通过 RDP 进入服务器”。

这是非常错误的，但它值得保留，作为长期持有的信念没有得到足够多的检验的例证。我相信这是与早期版本的 Windows 行为的改变，但我不确定这种改变何时会发生。

我已经测试了 Windows 10 专业版和企业版，以防它们有不同的默认设置，并且用户能浏览本地管理共享，恐怕您控制它的选项相当有限。您可以按照 mdpc 的建议关闭管理共享（请参阅https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008) 以获取 Microsoft 来源）但它可能会干扰这些计算机上各种管理工具的工作方式（例如，可能会阻止自动部署代理的部署/更新）所以我真的建议不要这样做。

顺便说一句，通过 GPO 以您描述的方式隐藏驱动器与驱动器或共享的权限无关。这只会触发 Windows 中的标志来隐藏某些驱动器号。它不可靠也不强大，例如，我见过很多教育领域的管理员疯狂地试图阻止学生可以做任何事情，但这是徒劳的。

但是……虽然用户可以访问本地管理共享，但他们无法访问其他 PC 上的共享，并且他们通过共享进行的访问仍然只授予他们“通常”拥有的相同访问权限。因此，用户无法通过这种方式“破解”系统；他们无法更改他们没有权限更改的内容。

但是，您可以并且应该锁定 c:\ 驱动器的根目录。以下是一些操作说明：

转到您的 DC，打开 ADUC，为无法将文件保存到根驱动器的用户创建一个安全组（例如“锁定 c 驱动器”）。
打开 GPMC，创建一个链接到目标机器的 GPO。
编辑策略并打开[计算机配置|策略|Windows设置|安全设置|文件系统]右键单击“文件系统”，选择“添加文件...”，选择“C：”驱动器，输入。
在安全页面中，点击“高级”按钮，添加安全组‘锁定C盘’。
突出显示该组后，单击“高级”。在“高级安全设置”窗口中，确保仍选择了正确的组，然后单击“编辑”。
将类型更改为“拒绝”并将应用于更改为“仅限此文件夹”。
单击“显示基本权限”/“显示高级权限”切换按钮，您就可以看到高级权限。
仅对以下项目勾选拒绝权限：“创建文件/写入数据”和“创建文件夹/附加数据”。
单击“确定”退出权限编辑器，然后再次单击“确定”。
在拒绝权限的警告窗口中，单击是。
将安全策略设置设为“然后配置此文件或文件夹”，并选择“将可继承权限传播给所有子文件夹和文件”（在此设置生效之前，您需要仔细检查第 6 步是否完全正确）。

给 GPO 一些时间进行复制和应用（gpupdate /force如果您很着急，可以在这里提供帮助），现在您应该会发现用户无法在 c 驱动器的根目录中创建文件。此时，他们实际上应该只对 \users 中的自己的文件夹具有权限。

Question 2

我在此处提到的注册表修复中找到了该问题的解决方案：

https://social.technet.microsoft.com/Forums/office/en-US/b168408e-a540-4e3a-92cc-3121486ceb78/admin-shares-available-to-nonadministrative-users-over-loopback-address?forum=winserversecurity

我测试了一下，它确实有效。我通过组策略部署了更改，计算机也收到了更改。

该文章还讨论了从 Windows 2003 迁移到 Windows 2008 时发生的变化：

“出现这种情况的原因是 Windows Server 2008 中管理共享的默认共享权限发生了更改，从而允许活动登录帐户访问管理共享。

管理共享的默认共享权限由注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\DefaultSecurity\SrvsvcShareAdminConnect 控制。

要将 Windows Server 2008 配置为与 Windows Server 2003 的行为相同，我们可以从 Windows Server 2003 导出上述注册表值，然后将其导入到 Windows Server 2008。请注意：我们需要重新启动服务器才能使更改生效。

Answer