辣妈辣妹中英台词:关闭默认共享 禁止ipc$空连接(整理)

来源:百度文库 编辑:九乡新闻网 时间:2024/05/06 18:33:52

默认共享:
在Windows 2000/XP/2003系统中,逻辑分区与Windows目录默认为共享,这是为管理员管理服务器的方便而设,但却成为了别有用心之徒可趁的安全漏洞。

IPC$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

利用IPC$,连接者可以与目标主机建立一个空的连接,即无需用户名和密码就能连接主机,当然这样连接是没有任何操作权限的。但利用这个空的连接,连接者可以得到目标主机上的用户列表。
利用获得的用户列表,就可以猜密码,或者穷举密码,从而获得更高,甚至管理员权限。

只要通过IPC$,获得足够的权限,就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者,主机上的所有资料,包括QQ密码、email帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。

要防止别人用ipc$和默认共享入侵,需要禁止ipc$空连接,避免入侵者取得用户列表,并取消默认共享。


禁止ipc$空连接进行枚举
运行regedit,找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001
Value:0x0(缺省)
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

关闭139与445端口
ipc$连接是需要139或445端口来支持的,139端口的开启表示netbios协议的应用,通过139,445(win2000)端口实现对共享文件/打印机的访问,因此关闭139与445端口可以禁止ipc$连接。

关闭139端口可以通过禁用 netbios 协议来实现。
139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁用 TCP/IP 上的 NetBios”,最后确定退出。

445端口关闭方法:运行regedit,找到项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters],建立名称为SMBDeviceEnabled,DWORD类型的键,值为00000000。

关闭默认共享:

1、删除已有的共享
运行
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
…………(有几个删几个)

OR:建立新TXT文件,输入:
ECHO OFF
NET SHARE C$ /DELETE
NET SHARE D$ /DELETE
NET SHARE E$ /DELETE
NET SHARE F$ /DELETE
NET SHARE G$ /DELETE
NET SHARE H$ /DELETE
NET SHARE ADMIN$ /DELETE
NET SHARE IPC$ /DELETE
ECHO ON
(有更多分区的话继续加,I$ J$ ……)
另存为 noshare.bat 放在系统目录下,建立快捷方式到“开始”菜单的“启动”组。 这样每次启动的时候都自动删除共享。

或者在“控制面板->管理工具->计算机管理”里的“共享文件夹->共享”中删除。

2、修改注册表
删除了共享,下一次启动时还是会自动打开共享,要永久关闭需要修改注册表

IPC$、Admin$和C$、D$都不同,在注册表的修改是不同的。你所改的只是禁止了C$、D$。而没有禁止IPC$。
禁止C$、D$管理共享
对于服务器而言:
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareServer
Type:DWORD
Value:0
对于工作站而言:
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareWks
Type:DWORD
Value:0
修改注册表后需要重启Server服务或重新启动机器。
注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。

禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareWks
Type:REG_DWORD
Value:0x0


另外:

A、关闭ipc$和默认共享依赖的服务(不推荐)
net stop lanmanserver
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

B、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。

C、装防火墙,或者端口过滤。

来自: http://hi.baidu.com/ccmob/blog/item/767ac85cfb807c47faf2c069.html
关闭默认共享 禁止ipc$空连接(整理) 单机防护|如何察看本地共享资源 删除共享 删除ipc$空连接 关闭自己的139端口,Ipc... IPC$默认共享连接怎么删除! - Windows专区 / 安全技术/病毒 关闭远程ipc共享 如何删除ipc$空连接 如何关闭WindowsXP系统默认共享 怎样防止别人用ipc$和默认共享入侵-网络安全 如何关闭ipc远程共享 - jerry67892的专栏 - CSDN博客 清除IPC$共享方法 禁止winxp的默认硬盘共享2008-01-09 14:00 删除默认共享 XP停止默认共享 如何关闭电脑共享 笔记本开机默认关闭小数字键盘 共享服务器-----连接Oracle 空连接命令 空连接_经典 设置你的Windows操作系统默认共享 五板斧封杀Windows默认共享2 Internet连接共享组网手记 共享打印机无法连接问题 关闭Windows7默认功能 让系统运行更快 如何删除IPC$共享? - 已解决 - 搜搜问问 删除IPC$共享问题 - 自由飞翔 - yyybe - 和讯博客