IPC$漏洞描述
用過Windows 2000的人都知道,Windows 2000的默認安裝允許任何用戶通過空用戶連接(IPC$)得到系統(tǒng)所有賬號和共享列表,,這本來是為了方便局域網(wǎng)用戶共享資源和文件的,,但是任何一個遠程用戶都可以利用這個空的連接得到你的用戶列表。一些別有用心者會利用這項功能,,查找我們的用戶列表,,并使用一些字典工具,對我們的主機進行攻擊,。另外,,在安裝系統(tǒng)時創(chuàng)建一些隱藏的共享,,通過“計算機名或IP地址\盤符$”就可以訪問,。作為系統(tǒng)管理員的我,平時也喜歡利用這些共享來進行遠程管理計算機和查看計算機的共享資源時,,沒想到卻給黑客留了通道,。 黑客攻擊 “流光”主界面 一些別有用心者曾經(jīng)利用黑客工具軟件對我所管理的服務(wù)器進行IPC$漏洞探測,其中以“流光”軟件最為出名,,其運行主界面如圖1所示,,按[Ctrl+R]鍵彈出掃描框。在掃描范圍欄里輸入你要掃描的IP地址范圍,,在掃描主機類型里選擇Windows NT/98,,確定后進行掃描,這樣,,一些在線的Windows NT/98機器就會被掃描出來,。 掃描對話框 鼠標右擊界面上“IPC$主機”,選擇“探測”下面的“探測所有IPC$用戶列表”命令,就會探測出給出IP地址范圍的機器里的IPC$用戶列表,,關(guān)鍵是這里也可以掃描出這些用戶列表中沒有密碼或是簡單密碼的用戶,。當然,得到用戶列表后也可以選用專門的黑客字典試探出密碼來,,誰能保證,,服務(wù)器里每個用戶的密碼都很強壯呢?所以這些人總有得逞的時候,。 防范IPC$漏洞攻擊 知道黑客利用此漏洞入侵后,,我驚出了一身冷汗,趕緊把密碼設(shè)置得復(fù)雜一些,,但是無論我采用多復(fù)雜的密碼,,過一段時間還是發(fā)現(xiàn)有被入侵的跡象??磥砣f事都不能兩全,,計算機管理也一樣,要方便就不安全,,要安全就不方便,,所以我只好采用下面的方法把IPC$漏洞堵住,這樣自己也就沒辦法享受默認共享帶來的方便了,。 1. 通過修改注冊表來禁止建立空連接(IPC$) 點擊[開始]→[運行],,在運行框里輸入“Regedit”回車后打開注冊表,將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 項設(shè)置為“1”,,就可以禁止空用戶連接,。 2. 通過修改注冊表來禁止管理共享 C$D$等 打開注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\LanmanServer\Parameters項 對于服務(wù)器,添加鍵值“AutoShareServer”,,類型為“REG_DWORD”,,值為“0”。 對于客戶機,,添加鍵值“AutoShareWks”,,類型為“REG_DWORD”,值為“0”。 UpReg.reg Windows Registry Editor Version 5.00
3. 批處理刪除共享 net share d$ delete net share ipc$ /delete net share admin$ /delete net share查看 要全部停止,控制面板->服務(wù)-server即可
IPC$共享是為管理系統(tǒng)而設(shè)置的,,關(guān)閉之后,,當機器下次重新啟動的時候,會自動重建,。也就是說,,IPC$共享無法徹底關(guān)閉,這是系統(tǒng)的需要,。如果一定要完全關(guān)閉IPC$共享,,可以在“管理工具→服務(wù)”中,停止Server服務(wù),,但這樣的話,,系統(tǒng)中的所有共享也將不復(fù)存在。 |
|
來自: 老年頭 > 《玩轉(zhuǎn)電腦》