Гайд: ошибка «Недостаточно прав для открытия разделяемого ресурса ADMIN$» в Dr.Web

Гайд по устранению ошибки доступа к ADMIN$ в Dr.Web ESS: учётные данные, UAC, брандмауэр, групповые политики, SMB.

2026.04.23                  

Гайд: ошибка «Недостаточно прав для открытия разделяемого ресурса ADMIN$» в Dr.WebГайд: ошибка «Недостаточно прав для открытия разделяемого ресурса ADMIN$» в Dr.Web Эта ошибка означает, что Сервер администрирования Dr.Web (ESS) не может подключиться к скрытой административной шаре ADMIN$ (C:\Windows) на целевой станции. Доступ к ADMIN$ требуется для тихой установки агента, удалённого обновления, выполнения команд и сбора телеметрии.

Ниже приведён пошаговый гайд по диагностике и устранению проблемы, актуальный для Windows 10/11, Windows Server 2016–2025 и Dr.Web ESS 12.x/13.x (2025–2026).

Быстрая диагностика

Выполните эти команды с сервера администрирования (или с любой машины с правами администратора):

net use \\ИМЯ_ИЛИ_IP_СТАНЦИИ\admin$ /user:ДОМЕН\ПОЛЬЗОВАТЕЛЬ ПАРОЛЬ

Результаты:

  • Успешно подключено → проблема в настройках Dr.Web (учётные данные в консоли, таймауты, логика распространения).
  • Ошибка 5 (Access is denied) → проблема прав, UAC или групповых политик.
  • Ошибка 53/67 (Network path not found) → станция недоступна, отключена шара или блокирует брандмауэр.
  • Ошибка 1326 (Logon failure) → неверный логин/пароль, блокировка учётки или рассинхронизация времени.

Пошаговое решение

1. Проверка учётной записи в Dr.Web Center

  1. Откройте консоль Dr.Web Enterprise Security Suite.
  2. Перейдите в Администрирование → Параметры сервера → Учётные данные.
  3. Убедитесь, что указана доменная или локальная учётная запись, которая является членом группы Администраторы на целевой станции.
4. Если нужно задать учётку для конкретной группы/станции:
  • Сеть → Выберите группу/компьютер → Свойства → Учётные данные для удалённого подключения.
  1. Сохраните и нажмите Применить → Обновить состояние.

Рекомендация:

  • Используйте доменную учётную запись. Локальные учётки часто сталкиваются с ограничениями UAC и политиками безопасности.

2. Включение и проверка шары ADMIN$

На целевой станции (через RDP или локально):

net share

В списке должна быть строка:

ADMIN$           C:\Windows             Удаленный администратор

Если её нет:

1. Откройте regedit → перейдите в:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  1. Создайте или измените параметр AutoShareServer (DWORD) = 1.

3. Перезапустите службу:

   net stop server && net start server
  1. Проверьте снова net share.

3. Обход фильтрации токенов UAC (критично для локальных учётных записей)

Windows по умолчанию удаляет права администратора при удалённом подключении с локальной учёткой.

На целевой станции:

1. regedit → перейдите в:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  1. Создайте параметр LocalAccountTokenFilterPolicy (DWORD) = 1.
3. Примените без перезагрузки:
   gpupdate /force

Для доменных учётных записей этот параметр обычно не требуется, но его наличие не вредит.

4. Брандмауэр Windows и порты SMB

Убедитесь, что на станции разрешён входящий трафик по SMB:

Test-NetConnection -ComputerName <IP_СТАНЦИИ> -Port 445

Если порт закрыт:

  1. Откройте Брандмауэр Защитника Windows с расширенной безопасностью.
2. Включите правила:
  • Служба сервера (входящий трафик)
  • Общий доступ к файлам и принтерам (входящий трафик)
3. Или выполните от администратора:
   netsh advfirewall firewall set rule group="Общий доступ к файлам и принтерам" new enable=Yes

5. Групповые политики (локальные или доменные)

Проверьте следующие политики на станции (через gpedit.msc или gpmc.msc):

Путь:

  • Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности
Политика Рекомендуемое значение
Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей Классическая — локальные пользователи проверяют подлинность как они сами
Сетевой доступ: не разрешать анонимный доступ к общим папкам Включено
Сетевой доступ: ограничивать анонимный доступ к именованным каналам и общим папкам Включено

Избегайте политик, блокирующих ADMIN$, C$ или отключающих службу Сервер (LanmanServer).

6. Синхронизация времени

Разница времени более 5 минут ломает аутентификацию NTLM/Kerberos.

На станции:

w32tm /query /status

Сравните с сервером администрирования или контроллером домена.

При расхождении:

w32tm /resync
net stop w32time && net start w32time

7. Особенности Dr.Web ESS

  • Логика повторных попыток: Сервер пытается подключиться несколько раз с интервалом. Если сеть нестабильна, увеличьте таймауты в Параметры сервера → Сеть.
  • Антивирусная защита станции: Встроенный Dr.Web или сторонний EDR может блокировать удалённое создание процессов через psexec/wmic, которые использует ESS. Добавьте исключения для путей установки и процессов сервера.
  • Ручная установка: Если удалённая установка не проходит из-за политик, используйте скрипт setup.exe /silent через GPO, SCCM или PDQ Deploy, после чего агент зарегистрируется автоматически.

Проверка результата

  1. В консоли Dr.Web выделите проблемную станцию → Обновить состояние.
  2. Проверьте лог сервера: %ProgramData%\DrWeb\Server\Logs\InstallLog_<дата>.txt или AgentInstall.log.
  3. Успешная установка/подключение покажет статус Агент активен и версию продукта.

Рекомендации по безопасности

  • Не отключайте UAC полностью и не включайте учётную запись Гость.
  • Ограничьте доступ к ADMIN$ через IPsec или GPO, если он не требуется для администрирования.
  • Используйте принцип наименьших привилегий: создайте отдельную доменную группу DrWeb_Admin_Installers и добавляйте её в локальных администраторов только на целевых станциях.
  • Регулярно обновляйте Windows и Dr.Web ESS до последних билдов.
×

Полный размер Слайдшоу Предыдущий Следующий