文档介绍：默认共享:
在Windows 2000/XP/2003系统中,逻辑分区与Windows目录默认为共享,这是为管理员管理服务器的方便而设,但却成为了别有用心之徒可趁的安全漏洞。
IPC$
IPC$( Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
只要通过IPC$,获得足够的权限,就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者,主机上的所有资料,包括QQ密码、email帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。
要防止别人用ipc$和默认共享入侵,需要禁止ipc$空连接,避免入侵者取得用户列表,并取消默认共享。
1、禁止ipc$空连接进行枚举
空连接是在没有信任的情况下与服务器建立的会话,换句话说,它是一个到服务器的匿名访问,即无需用户名和密码就能连接主机,当然这样连接是没有任何操作权限的。但利用这个空的连接,连接者可以得到目标主机上的用户列表。利用获得的用户列表,就可以猜密码,或者穷举密码,从而获得更高,甚至管理员权限。 use \\IP\ipc$ "" /user:"" 就可以简单地和目标建立一个空连接(需要目标开放IPC$)。留着不放心,还是禁止掉的好!
运行regedit,找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001
2、关闭相关端口
关闭139与445端口
ipc$连接是需要139或445端口来支持的,bios协议的应用,通过139,445(win2000)端口实现对共享文件/打印机的访问,因此关闭139与445端口可以禁止ipc$连接。
(1)关闭139端口
bios 协议来实现。
139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接属性”页面,选择“协议(TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁用 TCP/IP Bios”,最后确定退出。但这样也无法使用共享文件夹共享文件了
(2)关闭445端口
445端口关闭方法:运行regedit,找到项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\BT\Parameters],建立名称为SMBDeviceEnabled,DWORD类型的键,值为00000000。改后需要重启,stat –an命令查看,就看不到445端口了,这个不影响共享文件夹的使用
3、关闭默认共享
(1)删除已有的共享(不可取)
运行
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
…………(有几个删几个