在Windows 2000/XP/2003系統中,邏輯分區與Windows目錄默認為共享,這是為管理員管理伺服器的方便而設,但卻成為了別有用心之徒可乘的安全漏洞。
基本介紹
- 中文名:默認共享
- 外文名:IPC$
- 系統 :Windows 2000/XP/2003
- 劣勢:易使系統受侵害
基本介紹,關閉,
基本介紹
IPC$
IPC$(Internet Process Connection)是共享"命名管道"的資源,它是為了讓進程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的許可權,在遠程管理計算機和查看計算機的共享資源時使用。
利用IPC$,連線者可以與目標主機建立一個空的連線,即無需用戶名和密碼就能連線主機,當然這樣連線是沒有任何操作許可權的。但利用這個空的連線,連線者可以得到目標主機上的用戶列表。
利用獲得的用戶列表,就可以猜密碼,或者窮舉密碼,從而獲得更高,甚至管理員許可權。
只要通過IPC$,獲得足夠的許可權,就可以在主機上運行程式、創建用戶、把主機上C、D、E等邏輯分區共享給入侵者,主機上的所有資料,包括QQ密碼、email帳號密碼、甚至存在電腦里的信用卡資料都會暴露在入侵者面前。
禁止ipc$空連線進行枚舉
運行regedit,找到如下組鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為:00000001
Value:0x0(預設)
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連線本機IPC$共享
說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如SQL Server
關閉139與445連線埠
ipc$連線是需要139或445連線埠來支持的,139連線埠的開啟表示netbios協定的套用,通過139,445(win2000)連線埠實現對已分享檔案/印表機的訪問,因此關閉139與445連線埠可以禁止ipc$連線。
關閉139連線埠可以通過禁用 netbios 協定來實現。
139連線埠關閉方法:控制臺->網路和撥號連線->本地連線,點屬性按鈕進入“本地連線 屬性”頁面,選擇“Internet 協定 (TCP/IP)”,然後點屬性按鈕,在彈出視窗點高級按鈕,然後選擇WINS標籤,點“禁用 TCP/IP 上的 NetBios”,最後確定退出。
445連線埠關閉方法:運行regedit,找到項[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters],建立名稱為SMBDeviceEnabled,DWORD類型的鍵,值為00000000。
關閉
刪除已有的共享
運行
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
…………(有幾個刪幾個)
OR:建立新TXT檔案,輸入:
ECHO OFF
NET SHARE C$ /DELETE
NET SHARE D$ /DELETE
NET SHARE E$ /DELETE
NET SHARE F$ /DELETE
NET SHARE G$ /DELETE
NET SHARE H$ /DELETE
NET SHARE ADMIN$ /DELETE
NET SHARE IPC$ /DELETE
ECHO ON
(有更多分區的話繼續加,I$ J$ ……)
或者在“控制臺->管理工具->計算機管理”里的“已分享檔案夾->共享”中刪除。
修改註冊表
刪除了共享,下一次啟動時還是會自動打開共享,要永久關閉需要修改註冊表
IPC$、Admin$和C$、D$都不同,在註冊表的修改是不同的。你所改的只是禁止了C$、D$。而沒有禁止IPC$。
禁止C$、D$管理共享
對於伺服器而言:
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareServer
Type:DWORD
Value:0
對於工作站而言:
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareWks
Type:DWORD
Value:0
修改註冊表後需要重啟Server服務或重新啟動機器。
註:這些鍵值在默認情況下在主機上是不存在的,需要自己手動添加。
禁止ADMIN$預設共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareWks
Type:REG_DWORD
Value:0x0
另外:
A、關閉ipc$和默認共享依賴的服務(不推薦)
net stop lanmanserver
可能會有提示說,XXX服務也會關閉是否繼續。因為還有些次要的服務依賴於lanmanserver。一般情況按y繼續就可以了。
C、裝防火牆,或者連線埠過濾。
禁止具有管理員許可權的賬戶通過網路訪問
譬如說在管理員組我有兩個賬戶“administrator”和“123”,那么我只需要將這兩個用戶名添加到禁止通過網路訪問就可以了,打開“本地安全設定”,找到“本地策略”下的“用戶權利指派”,在其右側的“拒絕從網路訪問這台計算機”里添加“administrator”和“123”這兩個賬戶,這樣的話默認共享就失去了原有的功能了。
