zoukankan      html  css  js  c++  java
  • 禁止IPC空连接

    默认共享:
    在Windows 2000/XP/2003系统中,逻辑分区与Windows目录默认为共享,这是为管理员管理服务器的方便而设,但却成为了别有用心之徒可趁的安全漏洞。

    IPC$
    IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。

    利用IPC$,连接者可以与目标主机建立一个空的连接,即无需用户名和密码就能连接主机,当然这样连接是没有任何操作权限的。但利用这个空的连接,连接者可以得到目标主机上的用户列表。
    利用获得的用户列表,就可以猜密码,或者穷举密码,从而获得更高,甚至管理员权限。

    只要通过IPC$,获得足够的权限,就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者,主机上的所有资料,包括QQ密码、email帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。

    要防止别人用ipc$和默认共享入侵,需要禁止ipc$空连接,避免入侵者取得用户列表,并取消默认共享。

    禁止ipc$空连接进行枚举
    运行regedit,找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001

    关闭139与445端口
    ipc$连接是需要139或445端口来支持的,139端口的开启表示netbios协议的应用,通过139,445(win2000)端口实现对共享文件/打印机的访问,因此关闭139与445端口可以禁止ipc$连接。

    关闭139端口可以通过禁用 netbios 协议来实现。
    139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁用 TCP/IP 上的 NetBios”,最后确定退出。

    445端口关闭方法:运行regedit,找到项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters],建立名称为SMBDeviceEnabled,DWORD类型的键,值为00000000。

    关闭默认共享:

    1、删除已有的共享
    运行
    net share ipc$ /del
    net share admin$ /del
    net share c$ /del
    net share d$ /del
    …………(有几个删几个)

    或者在“控制面板->管理工具->计算机管理”里的“共享文件夹->共享”中删除。

    2、修改注册表
    删除了共享,下一次启动时还是会自动打开共享,要永久关闭需要修改注册表
    server版:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
    pro版:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。

    ==

    以下四种方法可以参考一下:
    A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。
    1,先把已有的删除
    net share ipc$ /del
    net share admin$ /del
    net share c$ /del
    …………(有几个删几个)
    2,禁止建立空连接
      首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]

    把RestrictAnonymous(DWORD)的键值改为:00000001。
    3,禁止自动打开默认共享
     

    对于server版,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerPara

    meters]把AutoShareServer(DWORD)的键值改为:00000000。
    对于pro版,则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把Au

    toShareWks(DWORD)的键值改为:00000000。

    B、另一种是关闭ipc$和默认共享依赖的服务(不推荐)
    net stop lanmanserver
    可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

    C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。

    D、还有一个办法就是装防火墙,或者端口过滤。
  • 相关阅读:
    MySQL多表查询
    多表关联
    MySQL数据类型 约束
    初识数据库
    socker server和 event
    os 模块 和 os模块下的path模块
    sys 模块
    time 模块
    目录规范

  • 原文地址:https://www.cnblogs.com/0000/p/1588743.html
Copyright © 2011-2022 走看看