{"id":2261,"date":"2025-04-01T22:20:17","date_gmt":"2025-04-01T20:20:17","guid":{"rendered":"https:\/\/hitco.at\/blog\/?p=2261"},"modified":"2025-11-27T08:07:06","modified_gmt":"2025-11-27T07:07:06","slug":"administrative-windows-shares-c-admin-mit-revoke-smbshareaccess-absichern","status":"publish","type":"post","link":"https:\/\/hitco.at\/blog\/administrative-windows-shares-c-admin-mit-revoke-smbshareaccess-absichern\/","title":{"rendered":"Administrative Windows Shares (ADMIN$, C$, D$, \u2026) mit Revoke-SmbShareAccess absichern"},"content":{"rendered":"\n

Windows erstellt standardm\u00e4\u00dfig spezielle, versteckte Freigaben (z. B. C$, ADMIN$, IPC$) f\u00fcr den Remote-Zugriff von Administratoren. Diese sind im Explorer grunds\u00e4tzlich nicht sichtbar (ausgeblendet), k\u00f6nnen aber z.B. mittels folgendem PowerShell-CmdLet angezeigt werden:<\/p>\n\n\n

\nPS C:\\> Get-SmbShare\n\nName   ScopeName Path                              Description\n----   --------- ----                              -----------\nADMIN$ *         C:\\WINDOWS                        Remoteverwaltung\nC$     *         C:\\                               Standardfreigabe\nD$     *         D:\\                               Standardfreigabe\nE$     *         E:\\                               Standardfreigabe\nIPC$   *                                           Remote-IPC\n<\/pre><\/div>\n\n\n
Was vielen nicht bewusst ist: Auch interaktiv angemeldete Benutzer (ohne Administrator-Rechte) k\u00f6nnen auf diese administrativen Freigaben lokal zugreifen, z.B. wie folgt: \\\\127.0.0.1\\c$\\Windows<\/strong><\/code><\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
<\/p>\n\n\n\n
Warum ist dies erlaubt? Weil die Zugriffsrechte wie folgt konfiguriert sind:<\/p>\n\n\n
\nPS C:\\> Get-SmbShareAccess -Name "C$"\n\nName ScopeName AccountName              AccessControlType AccessRight\n---- --------- -----------              ----------------- -----------\nC$   *         BUILTIN\\Administrators   Allow             Full\nC$   *         BUILTIN\\Backup Operators Allow             Full\nC$   *         NT AUTHORITY\\INTERACTIVE Allow             Full\n<\/pre><\/div>\n\n\n
K\u00f6nnen die Berechtigungen regul\u00e4r ge\u00e4ndert werden?<\/h2>\n\n\n\n
Kann diese Berechtigung f\u00fcr NT AUTHORITY\\INTERACTIVE<\/strong><\/code> mit einfacher Nutzung von Revoke-SmbShareAccess<\/code> ge\u00e4ndert, z.B. entzogen oder blockiert werden?<\/p>\n\n\n\n
Leider NEIN! Beim Versuch diese zu entziehen oder zu blockieren st\u00f6\u00dft man auf die Fehlermeldung „Die Anforderung wird  nicht unterst\u00fctzt.<\/strong><\/em>“ <\/p>\n\n\n\n
Beachte: Obwohl diese BuiltIn-administrativen Shares mit englisch-sprachigen AccountNames aufscheinen, m\u00fcsste man beim Konfigurieren in der PowerShell auf einem deutschsprachigen System die korrekten deutschsprachigen Accounts verwenden (Siehe Zeile #4). Nutzung der englisch-sprachigen Identit\u00e4ten (Zeile #1) f\u00fchrt lediglich zur Fehlermeldung „Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgef\u00fchrt.<\/em>„<\/p>\n\n\n
\nPS C:\\> Revoke-SmbShareAccess -Name "C$" -AccountName "NT AUTHORITY\\INTERACTIVE" -Force\nRevoke-SmbShareAccess : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgef\u00fchrt.\n\nPS C:\\> Revoke-SmbShareAccess -Name "C$" -AccountName "NT-AUTORIT\u00c4T\\Interaktiv" -Force\nRevoke-SmbShareAccess : Die Anforderung wird nicht unterst\u00fctzt.\n<\/pre><\/div>\n\n\n
Anmerkung: Bei regul\u00e4ren (selbst erstellten \/ freigegebenen) Netzwerk-Shares klappt diese Syntax. Beim Versuch administrative Shares (also solche mit einem Dollar-Zeichen „$“ als Suffix) hiermit zu konfigurieren, wird jedoch lediglich „Die Anforderung wird nicht unterst\u00fctzt.<\/em>“ ausgegeben.<\/p>\n\n\n\n
Fazit: Es ist NICHT m\u00f6glich administrative Shares mittels Revoke-SmbShareAccess<\/a><\/code>, Grant-SmbShareAccess<\/a><\/code> oder Block-SmbShareAccess<\/a><\/code> zu konfigurieren!<\/strong><\/p>\n\n\n\n
Warum ist das so?<\/p>\n\n\n\n
Diese Shares C$, D$, ADMIN$, … sind NICHT am System konfiguriert, sondern werden vom LanManServer beim Systemstart automatisch in einer nicht \u00e4nderbaren Default-Konfiguration aktiviert.<\/p>\n\n\n\n
Deaktivieren der administrativen Shares (ADMIN$, C$, D$, …)<\/h2>\n\n\n\n
Ob die administrativen Shares ( ADMIN$, C$, D$, …) verf\u00fcgbar sind kann \u00fcber folgenden Registry-DWORD-Value gesteuert und wie folgt deaktiviert werden: AutoShareWks = 0<\/code><\/strong><\/p>\n\n\n
\nPS C:\\> New-ItemProperty -Path HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters -Name "AutoShareWks" -PropertyType DWord -Value 0\n\n\nAutoShareWks : 0\nPSPath       : Microsoft.PowerShell.Core\\Registry::HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\nPSParentPath : Microsoft.PowerShell.Core\\Registry::HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\nPSChildName  : Parameters\nPSDrive      : HKLM\nPSProvider   : Microsoft.PowerShell.Core\\Registry\n\nPS C:\\> Restart-Service -Name Server -Force\n\nPS C:\\> Get-SmbShare\n\nName   ScopeName Path                              Description\n----   --------- ----                              -----------\nIPC$   *                                           Remote-IPC\n<\/pre><\/div>\n\n\n
Wenn dieser Registry-DWORD-Value AutoShareWks = 0<\/code><\/strong> nicht vorhanden ist (Default-Zustand), sind die administrativen Shares aktiv.<\/p>\n\n\n\n
Um diese zu deaktivieren ist der Wert anzulegen und mit „0“ zu belegen. Der genannte Registry-Wert AutoShareWks = 0<\/code><\/strong> gilt f\u00fcr Clients (Workstations), bei Windows Servern ist hingegen ein anderer Wert, n\u00e4mlich AutoShareServer<\/code><\/strong> = 0<\/code><\/strong> zu setzen.<\/p>\n\n\n\n
Danach das System neu starten (oder alternativ das Service „server“ wie hier gezeigt neu starten), dann sind die administrativen Shares (ADMIN$, C$, …) nicht mehr verf\u00fcgbar. <\/p>\n\n\n\n
Der IPC$<\/code> Share, welcher f\u00fcr (Remote-)Administration ben\u00f6tigt wird bleibt, bleibt erhalten.<\/p>\n\n\n\n
Aktivieren der administrativen Shares (ADMIN$, C$, D$, …)<\/h2>\n\n\n\n
Die \u00c4nderung l\u00e4sst sich wie folgt wieder r\u00fcckg\u00e4ngig machen und der Default-Zustand herstellen:<\/p>\n\n\n
\nPS C:> Remove-ItemProperty -Path HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters -Name "AutoShareWks"\n\nPS C:> Restart-Service -Name Server -Force\n\nPS C:> Get-SmbShare\n\nName ScopeName Path Description\n---- --------- ---- -----------\nADMIN$ * C:\\WINDOWS Remoteverwaltung\nC$ * C:\\ Standardfreigabe\nD$ * D:\\ Standardfreigabe\nE$ * E:\\ Standardfreigabe\nIPC$ * Remote-IPC\n\nPS C:> Get-SmbShareAccess -Name "ADMIN$"\n\nName ScopeName AccountName AccessControlType AccessRight\n---- --------- ----------- ----------------- -----------\nADMIN$ * BUILTIN\\Administrators Allow Full\nADMIN$ * BUILTIN\\Backup Operators Allow Full\nADMIN$ * NT AUTHORITY\\INTERACTIVE Allow Full\n<\/pre><\/div>\n\n\n
K\u00f6nnen Shares mit Namen C$, ADMIN$ manuell angelegt werden?<\/h2>\n\n\n\n
Ja, Fun-Fact: Wenn AutoShareWks = 0<\/code><\/strong> gesetzt ist, die administrativen Shares also deaktiviert sind, kann man mittels New-SmbShare<\/code> einen Share „C$“ manuell einrichten und auch im Zuge der Anlage die gew\u00fcnschten Berechtigungen (erstmalig und letztmalig) setzen:<\/p>\n\n\n
\nPS C:\\> New-SmbShare -Name "C$" -Path "C:\\" -FullAccess "Administratoren" -Description "Manuell-erstellte-Standardfreigabe"\n\nName ScopeName Path Description\n---- --------- ---- -----------\nC$   *         C:\\  Manuell-erstellte-Standardfreigabe\n\n\nPS C:\\> Get-SmbShare\n\nName   ScopeName Path                              Description\n----   --------- ----                              -----------\nC$     *         C:\\                               Manuell-erstellte-Standardfreigabe\nIPC$   *                                           Remote-IPC\nprint$ *         C:\\WINDOWS\\system32\\spool\\drivers Druckertreiber\n\n\nPS C:\\> Get-SmbShareAccess -Name "C$"\n\nName ScopeName AccountName                  AccessControlType AccessRight\n---- --------- -----------                  ----------------- -----------\nC$   *         VORDEFINIERT\\Administratoren Allow             Full\n<\/pre><\/div>\n\n\n
ABER – Vorsicht! Ein solch „manuell erstellter“ admin-Share mit einem $ als Suffix ist NICHT persistent verf\u00fcgbar, sobald Windows oder das Server-Service neu gestartet werden verschwindet dieser wieder:<\/p>\n\n\n
\nPS C:\\> Restart-Service -Name Server -Force\n\nPS C:\\> Get-SmbShare\n\nName   ScopeName Path                              Description\n----   --------- ----                              -----------\nIPC$   *                                           Remote-IPC\n<\/pre><\/div>\n\n\n
Au\u00dferdem l\u00e4sst sich so ein manuell angelegter „C$“ Share auch nur im Zuge des New-SmbShare<\/strong><\/code> Aufrufs mit Berechtigungen versehen, ein nachtr\u00e4gliches \u00c4ndern der Berechtigungen mit Revoke-SmbShareAccess<\/strong><\/code>, Grant-SmbShareAccess<\/strong><\/code> oder Block-SmbShareAccess<\/strong><\/code> ist NICHT m\u00f6glich. Durch Restart des Server-Service verschwindet der Share bei gesetztem AutoShareWks = 0<\/code><\/strong> jedoch wieder und kann mit anderen gew\u00fcnschten Rechten durch Verwendung von New-SmbShare<\/strong><\/code> neu erstellt werden. Der Vorgang m\u00fcsste allerdings bei jedem System-Start wiederholt werden, da dies wie erl\u00e4utert nicht persistiert wird.<\/p>\n\n\n\n
Alternativ m\u00fcsste man sich durch manuelle Anlage der ben\u00f6tigten Registry-Values unter HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares<\/code> selbst um eine persistente Hinterlegung k\u00fcmmern (technisch m\u00f6glich, jedoch aus aktueller Sicht nicht meine pr\u00e4ferierte \/ empfohlene Vorgangsweise).<\/p>\n\n\n\n
Default Security Descriptor der administrativen Shares (C$, ADMIN$) \u00e4ndern<\/h2>\n\n\n\n
Ein anderer L\u00f6sungs-Ansatz als das Deaktivieren der administrativen Shares stellt das \u00c4ndern des Default-Security-Descriptors dar.<\/p>\n\n\n\n
Ich werde nachfolgend auch ein fertiges Registry-File zum Download anbieten, hier aber eine detaillierte Beschreibung wie der Security Descriptor Schritt f\u00fcr Schritt ge\u00e4ndert werden kann erl\u00e4utern:<\/p>\n\n\n\n
Zuerst erstellen wir uns einen Share namens mySecurityDescriptor<\/code>, dieser wird uns nachfolgend dazu dienen, den Default-Security-Descriptor auf mySecurityDescriptor<\/code> zu kopieren, diesen zu \u00e4ndern und anschlie\u00dfend wieder auf den Default-Security-Descriptor zur\u00fcck zu kopieren:<\/p>\n\n\n\n
Also Schritt 1: Share namens mySecurityDescriptor<\/code> erstellen:<\/p>\n\n\n
\nPS C:> New-SmbShare -Name "mySecurityDescriptor" -Path "C:\\" -FullAccess "Administratoren" -Description "Neuer Share mit Wunsch-SecurityDescriptor"\n\nName ScopeName Path Description\n---- --------- ---- -----------\nmySecurityDescriptor * C:\\ Neuer Share mit Wunsch-SecurityDescriptor\n<\/pre><\/div>\n\n\n
Die Konfiguration dieses neu erstellten Shares mySecurityDescriptor <\/code>findet sich hier: HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares<\/code><\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n
\nPS C:\\> $mySecurityDescriptorShare = Get-ItemProperty -Path HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares -Name "mySecurityDescriptor"\nPS C:\\> $mySecurityDescriptorShare.mySecurityDescriptor\nCATimeout=0\nCSCFlags=0\nMaxUses=4294967295\nPath=C:\\\nPermissions=0\nRemark=Neuer Share mit Wunsch-SecurityDescriptor\nShareName=mySecurityDescriptor\nType=0\n<\/pre><\/div>\n\n\n
Der auf diese Art neu erstellte Share weist nun diesen Security-Descriptor auf:<\/p>\n\n\n
\nPS C:\\> Get-SmbShareAccess -Name "mySecurityDescriptor"\n\nName                 ScopeName AccountName                  AccessControlType AccessRight\n----                 --------- -----------                  ----------------- -----------\nmySecurityDescriptor *         VORDEFINIERT\\Administratoren Allow             Full\n<\/pre><\/div>\n\n\n
Der Security-Descriptor des Shares mySecurityDescriptor<\/code> befindet sich hier: HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares\\Security<\/code><\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n
\nPS C:\\> $key = 'HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Shares\\Security'\nPS C:\\> $value = 'mySecurityDescriptor'\n\nPS C:\\> $SecurityDescriptor=(New-Object System.Security.AccessControl.RawSecurityDescriptor (Get-ItemProperty $key).$value, 0).GetSddlForm('All')\nPS C:\\> $SecurityDescriptor\nO:SYG:SYD:(A;;FA;;;BA)\n\nPS C:\\> $SecurityDescriptorSDDL=ConvertFrom-SddlString -Sddl $SecurityDescriptor -Type FileSystemRights\nPS C:\\> $SecurityDescriptorSDDL\n\n\nOwner            : NT-AUTORIT\u00c4T\\SYSTEM\nGroup            : NT-AUTORIT\u00c4T\\SYSTEM\nDiscretionaryAcl : {VORDEFINIERT\\Administratoren: AccessAllowed (ChangePermissions, CreateDirectories, Delete, DeleteSubdirectoriesAndFiles, ExecuteKey, FullControl, FullControl, FullControl, FullControl, FullControl, GenericAll, GenericExecute, GenericRead, GenericWrite,\n                   ListDirectory, Modify, Read, ReadAndExecute, ReadAttributes, ReadExtendedAttributes, ReadPermissions, Synchronize, TakeOwnership, Traverse, Write, WriteAttributes, WriteData, WriteExtendedAttributes, WriteKey)}\nSystemAcl        : {}\nRawDescriptor    : System.Security.AccessControl.CommonSecurityDescriptor\n\nPS C:\\> $SecurityDescriptorSDDL.DiscretionaryAcl\nVORDEFINIERT\\Administratoren: AccessAllowed (ChangePermissions, CreateDirectories, Delete, DeleteSubdirectoriesAndFiles, ExecuteKey, FullControl, FullControl, FullControl, FullControl, FullControl, GenericAll, GenericExecute, GenericRead, GenericWrite, ListDirectory, Modify, Read, ReadAndExecute, ReadAttributes, ReadExtendedAttributes, ReadPermissions, Synchronize, TakeOwnership, Traverse, Write, WriteAttributes, WriteData, WriteExtendedAttributes, WriteKey)\n\n<\/pre><\/div>\n\n\n
Der Security-Descriptor der Administrativen Windows Shares (C$, ADMIN$) befindet sich hingegen hier: HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\DefaultSecurity\\SrvsvcShareAdminConnect<\/code><\/p>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n
\nPS C:\\> $key = 'HKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\DefaultSecurity'\nPS C:\\> $value = 'SrvsvcShareAdminConnect'\n\nPS C:\\> $SecurityDescriptor=(New-Object System.Security.AccessControl.RawSecurityDescriptor (Get-ItemProperty $key).$value, 0).GetSddlForm('All')\nPS C:\\> $SecurityDescriptor\nO:SYG:SYD:(A;;CCDCSDRCWDWO;;;BA)(A;;CCDCSDRCWDWO;;;SO)(A;;CCDCSDRCWDWO;;;BO)(A;;CCDCSDRCWDWO;;;IU)(A;;CCDCSDRCWDWO;;;SU)(A;;CCDCSDRCWDWO;;;S-1-5-3)\n\nPS C:\\> $SecurityDescriptorSDDL=ConvertFrom-SddlString -Sddl $SecurityDescriptor -Type FileSystemRights\nPS C:\\> $SecurityDescriptorSDDL\n\n\nOwner            : NT-AUTORIT\u00c4T\\SYSTEM\nGroup            : NT-AUTORIT\u00c4T\\SYSTEM\nDiscretionaryAcl : {NT-AUTORIT\u00c4T\\BATCH: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData), NT-AUTORIT\u00c4T\\INTERAKTIV: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData),\n                   NT-AUTORIT\u00c4T\\DIENST: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData), VORDEFINIERT\\Administratoren: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)...}\nSystemAcl        : {}\nRawDescriptor    : System.Security.AccessControl.CommonSecurityDescriptor\n\nPS C:\\> $SecurityDescriptorSDDL.DiscretionaryAcl\nNT-AUTORIT\u00c4T\\BATCH: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\nNT-AUTORIT\u00c4T\\INTERAKTIV: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\nNT-AUTORIT\u00c4T\\DIENST: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\nVORDEFINIERT\\Administratoren: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\n: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\nVORDEFINIERT\\Sicherungs-Operatoren: AccessAllowed (ChangePermissions, Delete, ListDirectory, ReadPermissions, TakeOwnership, WriteData)\n<\/pre><\/div>\n\n\n
Kurze Erl\u00e4uterung dieser Eintr\u00e4ge, welche Identit\u00e4ten sind da berechtigt?<\/p>\n\n\n\n