ipc$入侵察看本地共享資源怎么防?
ipc$入侵能夠察看本地共享資源,防御的步驟如下:
運行-cmd-輸入net share
刪除共享(每次輸入一個)
- net share ipc$ /delete
- net share admin$ /delete
- net share c$ /delete
- net share d$ /delete(如果有e,f,……可以繼續刪除)
1 禁止空連接進行枚舉(此操作并不能阻止空連接的建立)
運行regedit,找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為:1
如果設置為"1",一個匿名用戶仍然可以連接到IPC$共享,但無法通過這種連接得到列舉SAM帳號和共享信息的權限;在Windows 2000 中增加了"2",未取得匿名權的用戶將不能進行ipc$空連接。建議設置為1。如果上面所說的主鍵不存在,就新建一個再改鍵值。如果你覺得改注冊表麻煩,可以在本地安全設置中設置此項: 在本地安全設置-本地策略-安全選項-'對匿名連接的額外限制'
2 禁止默認共享
1)察看本地共享資源
運行-cmd-輸入net share
2)刪除共享(重起后默認共享仍然存在)
- net share ipc$ /delete
- net share admin$ /delete
- net share c$ /delete
- net share d$ /delete(如果有e,f,……可以繼續刪除)
3)停止server服務
net stop server /y (重新啟動后server服務會重新開啟)
4)禁止自動打開默認共享(此操作并不能關閉ipc$共享)
運行-regedit
server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的鍵值改為:00000000。
pro版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的鍵值改為:00000000。
這兩個鍵值在默認情況下在主機上是不存在的,需要自己手動添加,修改后重起機器使設置生效。
3 關閉ipc$和默認共享依賴的服務:server服務
如果你真的想關閉ipc$共享,那就禁止server服務吧:
控制面板-管理工具-服務-找到server服務(右擊)-屬性-常規-啟動類型-選已禁用,這時可能會有提示說:XXX服務也會關閉是否繼續,因為還有些次要的服務要依賴于server服務,不要管它。
4 屏蔽139,445端口
由于沒有以上兩個端口的支持,是無法建立ipc$的,因此屏蔽139,445端口同樣可以阻止ipc$入侵。
1)139端口可以通過禁止NBT來屏蔽
本地連接-TCP/IT屬性-高級-WINS-選‘禁用TCP/IT上的NETBIOS’一項
2)445端口可以通過修改注冊表來屏蔽
添加一個鍵值
- Hive: HKEY_LOCAL_MACHINE
- Key: System\Controlset\Services\NetBT\Parameters
- Name: SMBDeviceEnabled
- Type: REG_DWORD
- Value: 0
修改完后重啟機器
注意:如果屏蔽掉了以上兩個端口,你將無法用ipc$入侵別人。
3)安裝防火墻進行端口過濾
6 設置復雜密碼,防止通過ipc$窮舉出密碼,我覺得這才是最好的辦法,增強安全意識,比不停的打補丁要安全的多。
ipc$入侵察看本地共享資源的防御方法你學會了嗎?趕快行動起來保護自己的主機安全吧,因為危險無時不在。
【編輯推薦】
