Windows-beheerdersshares zijn handig voor beheer op afstand, maar eerlijk gezegd kunnen ze een beveiligingsprobleem vormen als ze niet gecontroleerd worden. Als je ooit verborgen $shares zoals Admin$of C$in de netwerkhulpmiddelen hebt zien verschijnen en je je afvroeg hoe je ze kunt uitschakelen of weer inschakelen, dan kan deze handleiding je helpen. Het is ook handig als je de beveiliging wilt verbeteren of je netwerk wilt opschonen – want Windows maakt het natuurlijk altijd ingewikkelder dan nodig.
Hoe verwijder of schakel ik beheerdersshares uit in Windows?
Waarom dit nuttig is
Het verwijderen van beheerdersshares verkleint het aanvalsoppervlak, vooral op machines die niet bedoeld zijn voor toegang op afstand. Wanneer deze shares zijn uitgeschakeld, kunnen onbevoegde gebruikers niet zomaar via het netwerk in uw bestandssysteem rondneuzen. Houd er echter rekening mee dat als u afhankelijk bent van tools voor beheer op afstand of snelle toegang nodig hebt, het uitschakelen van deze shares betekent dat u alternatieve manieren nodig hebt om verbinding te maken. Het is een afweging: meer veiligheid of meer gebruiksgemak.
Wanneer moet je het gebruiken?
Als je een server of werk-pc wilt beveiligen, of gewoon wilt voorkomen dat iemand zonder de juiste inloggegevens op afstand toegang krijgt tot systeemstations, dan is dit de juiste oplossing.
Wat kun je verwachten?
Nadat je deze gedeelde mappen hebt verwijderd of uitgeschakeld, verschijnen ze niet meer in netwerkverkenningen of tools zoals NetView. Windows heeft echter de neiging ze na een herstart opnieuw aan te maken, tenzij je het register aanpast. Het is dus een kwestie van steeds weer een kleine aanpassing of een script gebruiken.
Methode 1: Handmatig beheerdersshares verwijderen
- Open Computerbeheer (klik met de rechtermuisknop op Start en selecteer Computerbeheer ).
- Ga naar Gedeelde mappen > Delen
- Zoek naar de share Admin$ of andere beheerdersshares zoals C$.
- Klik met de rechtermuisknop en kies ‘ Delen stoppen’.
Of, als je liever via de opdrachtregel werkt, open dan een PowerShell-venster met beheerdersrechten en voer het volgende commando uit:
net share Admin$ /delete
Hiermee wordt de gedeelde map direct verwijderd, maar let op: Windows zal deze na een herstart waarschijnlijk opnieuw aanmaken, tenzij u verdere aanpassingen doet.
Methode 2: Voorkom dat Windows bij het opstarten beheerdersshares aanmaakt.
- Open de Register-editor door te typen
regedit - Navigeer naar: HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Voeg een nieuwe DWORD-waarde toe met de naam AutoShareWks (voor werkstations) of AutoShareServer (voor servers).
- Stel de waarde in op 0.
Om dit via de commandoregel te doen, voert u het volgende commando uit:
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
Herhaal dit AutoShareServerals je een serverversie gebruikt. Herstart de computer na deze stappen.
Bij sommige configuraties kunnen de gedeelde mappen na de eerste herstart nog wel zichtbaar zijn, maar meestal verdwijnen ze snel. Als ze echter steeds opnieuw verschijnen, controleer dan de registerinstellingen en overweeg Groepsbeleid te gebruiken als u meerdere machines beheert.
Optioneel: Gebruik Groepsbeleid voor domeinbrede controle.
- Open Groepsbeleidsbeheer
- Maak een nieuw groepsbeleidsobject (GPO) aan en ga naar Computerconfiguratie > Voorkeuren > Windows-instellingen > Netwerkshares.
- Stel de actie in op Verwijderen en vink ‘Alle gedeelde mappen met beheerdersrechten verwijderen’ aan.
Op deze manier kunt u de instelling op alle pc’s in het domein toepassen, wat handig is voor grotere omgevingen.
Schakel beheerdersshares indien nodig opnieuw in.
Waarom dit nodig kan zijn
Als het uitschakelen te beperkend is of als u van gedachten bent veranderd, kunt u ze weer inschakelen. Soms kunnen server- of beheertools plotseling stoppen met werken nadat deze gedeelde mappen zijn verwijderd, dus het is handig om te weten hoe u ze weer kunt inschakelen.
Hoe schakel ik beheerdersshares weer in?
- Open de Register-editor en stel AutoShareWks of AutoShareServer in op 1.
- Of voer deze opdracht uit in PowerShell:
Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1
Start daarna de LanmanServer -service opnieuw op met:
Get-Service LanmanServer | Restart-Service -Verbose
Controleer Get-SmbShareof de beheerdersshares weer verschijnen. In sommige configuraties verschijnen ze na een herstart of het opnieuw opstarten van een service, zelfs als ze op ‘uit’ staan.
Denk aan toegang op afstand en het omzeilen van UAC.
Als externe toegang tot gedeelde mappen met beheerdersrechten niet werkt, vooral op Windows-werkgroepcomputers, kan dit komen door Gebruikersaccountbeheer (UAC). Windows blokkeert standaard externe toegang voor beheerders om veiligheidsredenen. Om dit op te lossen, kunt u een registervermelding aanmaken met de naam LocalAccountTokenFilterPolicy en de waarde 1.
Voer deze opdracht uit in PowerShell als beheerder:
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f
Start de computer opnieuw op en probeer vervolgens opnieuw verbinding te maken met de beheerdersgegevens. Dit is doorgaans nodig om gedeelde mappen op afstand toegankelijk te maken voor accounts die geen deel uitmaken van een domein, maar het brengt wel een risico met zich mee op het gebied van beveiliging.
En ja, het aanpassen van het register is niet de meest elegante oplossing, maar soms is het de enige manier om volledige controle te krijgen. Wees je er wel van bewust dat het wijzigen van deze instellingen beveiligingsrisico’s met zich mee kan brengen als je er niet zorgvuldig mee omgaat.
Samenvatting
- Beheerdersshares kunnen worden verwijderd via Computerbeheer of met de opdracht net share.
- Om te voorkomen dat Windows ze opnieuw aanmaakt, wijzig je de registerinstellingen (AutoShareWks/AutoShareServer naar 0).
- Start de services of de machine opnieuw op zodat de wijzigingen van kracht worden.
- Gebruik Groepsbeleid als u meerdere computers in een domein beheert.
- Voor toegang op afstand kunt u LocalAccountTokenFilterPolicy aanpassen.
Samenvatting
Het uitschakelen of opnieuw inschakelen van beheerdersshares is zeker mogelijk, maar het is een delicate kwestie. Het verwijderen ervan verhoogt de beveiliging, maar kan ook problemen veroorzaken bij beheer op afstand. Als u uw systeem wilt beveiligen of wilt opruimen, zouden deze stappen voldoende moeten zijn. Houd er wel rekening mee dat Windows deze shares na een herstart meestal opnieuw aanmaakt, tenzij u het register vergrendelt. Hopelijk helpt dit en bespaart het iemand een hoop kopzorgen.