關(guān)閉默認(rèn)共享禁止ipc$空連接整理

1、默認(rèn)共旱： 在 Windows 2000/XP/2003 系統(tǒng)中，邏輯分區(qū)與 Windows 目錄默認(rèn)為共享，這是 為管理員管理服務(wù)器的方便而設(shè)，但卻成為了別有用心之徒可趁的安全漏洞。 IPC$ IPC$(Internet Process Connection) 是共享命名管道的資源，它是為了讓進(jìn) 程問(wèn)通信而開(kāi)放的命名管道，可以通過(guò)驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn) 程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。 利用 IPC$,連接者可以與目標(biāo)主機(jī)建立一個(gè)空的連接，即無(wú)需用戶名和密碼就能 連接主機(jī)，當(dāng)然這樣連接是沒(méi)有任何操作權(quán)限的。 但利用這個(gè)空的連接，連接者 可以得到目標(biāo)主機(jī)上的用戶列表。

2、利用獲得的用戶列表，就可以猜密碼，或者窮舉密碼，從而獲得更高，甚至管理 員權(quán)限。 只要通過(guò) IPC$,獲得足夠的權(quán)限，就可以在主機(jī)上運(yùn)行程序、創(chuàng)建用戶、把主 機(jī)上C、DX E 等邏輯分區(qū)共享給入侵者，主機(jī)上的所有資料，包括 QC碼、email 帳號(hào)密碼、甚至存在電腦里的信用卡資料都會(huì)暴露在入侵者面前。 要防止別人用 ipc$和默認(rèn)共享入侵，需要禁止 ipc$空連接，避免入侵者取得用 戶列表，并取消默認(rèn)共享。 禁止 ipc$空連接進(jìn)行枚舉 運(yùn)行 regedit ,找到如下組鍵 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA把 Restric

3、tAnonymous = DWOR D 的鍵值改為：00000001 Value : 0 x0(缺省) 0 x1 匿名用戶無(wú)法列舉本機(jī)用戶列表 0 x2 匿名用戶無(wú)法連接本機(jī)舊。$共享 說(shuō)明：不建議使用 2,否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)，如 SQL Server 關(guān)閉 139 與 445 端口 ipc$連接是需要139或445端口來(lái)支持的，139端口的開(kāi)啟表示netbios協(xié)議的 應(yīng)用，通過(guò) 139,445(win2000)端口實(shí)現(xiàn)對(duì)共享文件/打印機(jī)的訪問(wèn)，因此關(guān)閉 139 與 445 端口可以禁止 ipc$連接。 關(guān)閉 139 端口可以通過(guò)禁用 netbios 協(xié)議來(lái)實(shí)現(xiàn)。 139 端

4、口關(guān)閉方法：控制面板- 網(wǎng)絡(luò)和撥號(hào)連接- 本地連接，點(diǎn)屆性按鈕進(jìn)入 “本地連接 屆性”頁(yè)面，選擇“Internet 協(xié)議(TCP/IP)”，然后點(diǎn)屆性按鈕， 在彈出窗口點(diǎn)高級(jí)按鈕，然后選擇 WINSfe 簽，點(diǎn)“禁用 TCP/IP 上的 NetBios”，最后確定退出。 445 端口關(guān)閉方法：運(yùn)行 regedit ,找到項(xiàng) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameter s,建立名稱為 SMBDeviceEnabled DWORD 型的鍵，值為 00000000。 1、 刪除已有的共享 運(yùn)行 net share i

5、pc$ /del net share admin$ /del net share c$ /del net share d$ /del ,（有幾個(gè)刪幾個(gè)） OR 建立新 TXT 文件，輸入： ECHO OFF NET SHARE C$ /DELETE NET SHARE D$ /DELETE NET SHARE E$ /DELETE NET SHARE F$ /DELETE NET SHARE G$ /DELETE NET SHARE H$ /DELETE NET SHARE ADMIN$ /DELETE NET SHARE IPC$ /DELETE ECHO ON （有更多分區(qū)的話繼續(xù)加，I$

6、 J$ ,） 另存為 noshare.bat 放在系統(tǒng)目錄下，建立快捷方式到“開(kāi)始”菜單的“啟 動(dòng)”組。這樣每次啟動(dòng)的時(shí)候都自動(dòng)刪除共享。 或者在“控制面板- 管理工具- 計(jì)算機(jī)管理”里的“共享文件夾- 共享”中刪 除。 2、 修改注冊(cè)表 刪除了共享，下一次啟動(dòng)時(shí)還是會(huì)自動(dòng)打開(kāi)共享，要永久關(guān)閉需要修改注冊(cè)表 IPC$、Admin 轎日 C$ D$tK 不同，在注冊(cè)表的修改是不同的。你所改的只是禁止 了 C$ D&而沒(méi)有禁止 IPC$。 禁止 C& D$t 理共享 對(duì)于服務(wù)器而言： 修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi

7、ceslanmanserverpar ameters Name AutoShareServer Type： DWORD Value : 0 對(duì)于工作站而言： 修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpar ameters Name AutoShareWks Type： DWORD Value : 0 修改注冊(cè)表后需要重啟 Server 服務(wù)或重新啟動(dòng)機(jī)器。 注：這些鍵值在默認(rèn)情況下在主機(jī)上是不存在的，需要自己手動(dòng)添加。 禁止 ADMIN 缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverpar ameters Name AutoShareWks Type： REG_DWORD Value : 0 x0 另外： A、 關(guān)閉 ipc$和默認(rèn)共享依賴的服務(wù)（不推薦） net stop lanmanserver 可能會(huì)有提示說(shuō)，XXXK 務(wù)也會(huì)關(guān)閉是否繼