Desactivar shares administrativos de Windows para mayor seguridad

Tanto las versiones domésticas de Windows como Windows Server crean una serie de recursos compartidos administrativos de forma automática tras iniciarse. Se los conoce mejor por su nombre en inglés: Windows administrative shares.

Estos recursos compartidos se denominan administrativos para diferenciarlos de las carpetas y recursos habituales. Son utilizados comúnmente por administradores de sistemas y permanecen ocultos a ojos del usuario habitual.

No pueden verse en el explorador de Windows o en Este Equipo, sin embargo sí aparecen mediante la utilidad carpetas compartidas en Administración de Equipos

Shares administrativos en Windows

Estos son los recursos administrativos compartidos en cualquier sistema Windows sin importar su versión (copio algunas descripciones de la propia Microsoft):

• $ LetraUnidad: se trata de un volumen o partición raíz compartido. Las particiones raíz compartido y volúmenes se muestran como el nombre de letra de unidad seguido del signo de dólar ($). Por ejemplo, cuando se comparten las letras de unidad C y D, se muestran como c$ y D$.
• ADMIN$: éste es un recurso que se utiliza durante la administración remota de un equipo.
• IPC$: éste es un recurso que comparte las canalizaciones con nombre que debe tener para la comunicación entre programas. Este recurso no puede eliminarse.

Recursos compartidos ocultos de Windows Server

En versiones servidor, además encontramos lo siguiente:

• PRINT$: permite la administración remota de impresoras.
• FAX$: carpeta compartida en un servidor que es utilizado por los clientes de fax, durante la transmisión de fax.

Recursos compartidos administrativos especiales

• NETLOGON: éste es un recurso utilizado en controladores de dominio.
• SYSVOL: éste es un recurso utilizado en controladores de dominio.

Desactivar recursos compartidos administrativos

En general Microsoft recomienda no deshabilitar estos recursos, pero si queremos hacer un bastionado de un sistema importante (o simplemente no necesitamos estas opciones) podemos seguir estos pasos.

Desactivar mediante net share

En un CMD o Powershell, escribiremos lo siguiente para ver los shares

net share

Obtendremos una lista similar a esta:

Nombre Recurso Descripción

-------------------------------------------------------------------------------
C$ C:\ Recurso predeterminado
IPC$ IPC remota
ADMIN$ C:\WINDOWS Admin remota
Se ha completado el comando correctamente.

Ahora, para cada uno de los shares administrativos que vamos a eliminar:

net share <recurso> /delete

Sustituiremos por cada share. Ejemplo:

net share C$ /delete
net share IPC$ /delete
net share ADMIN$ /delete

Ahora ejecutaremos cada uno de los comandos y obtendremos la confirmación:

c:\>net share C$ /delete
C$ was deleted successfully.
c:\>net share  IPC$ /delete
IPC$ was deleted successfully.
c:\>net share ADMIN$ /delete
ADMIN$ was deleted successfully.
c:\>net share
There are no entries in the list.
c:\>

Usando un comando alternativo (loop for)

Usando un loop for, podemos hacer esto mismo con un comando de una sola línea, definiendo las variables afectadas entre paréntesis:

for %i in (C$ IPC$ ADMIN$) do net share %i /delete

Conclusiones

Esta es una interesante forma de impedir que los virus y otras amenazas que pudieran ejecutarse en un equipo se expandan a otros de la misma red (muy frecuente con el ransomware).