ipc空连接 , 类似使用如下命令进行连接:net use ipipc$ " " /user:" " 建立IPC空链接 , 建立连接后,黑客可以尝试得到目标机器的用户名或共享目录,而空连接是不需要用户名和密码的。
空连接也是登录了您的服务器,建议您您稍后在服务器内禁止下空连接,禁止空连接进行枚举的方法为:运行regedit,找到如下组建[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous = DWORD的键值改为:1
防范入侵
1 禁止空连接进行枚举 ( 此操作并不能阻止空连接的建立 )
运行 regedit ,找到如下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 把 RestrictAnonymous = DWORD 的键值改为: 1
如果设置为 "1" ,一个匿名用户仍然可以连接到 IPC$ 共享,但无法通过这种连接得到列举 SAM 帐号和共享信息的权限;在 Windows 2000 中增加了 "2" ,未取得匿名权的用户将不能进行 ipc$ 空连接。建议设置为 1 。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项- ' 对匿名连接的额外限制 '
2 禁止默认共享
1 )察看本地共享资源
运行 -cmd- 输入 net share
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete (如果有 e,f, ……可以继续删除)
3 )停止 server 服务
net stop server /y (重新启动后 server 服务会重新开启)
4 )禁止自动打开
默认共享(此操作并不能关闭
ipc$ 共享)
运行 -regedit
server 版与pro 版 : 找到如下主键 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters] 把 AutoShareServer ( DWORD )的键值改为 :00000000 。
这两个键值在默认情况下在
主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效。
3 关闭 ipc$ 和默认共享依赖的服务 :server 服务
如果你真的想关闭 ipc$ 共享,那就禁止 server 服务吧:
控制面板- 管理工具 -
服务 - 找到 server
服务(右击) - 属性 - 常规 - 启动类型 - 选已禁用,这时可能会有提示说: XXX
服务也会关闭是否继续,因为还有些次要的
服务要依赖于 server
服务,不要管它。
4 屏蔽 139 , 445 端口
由于没有以上两个端口的支持,是无法建立 ipc$ 的,因此屏蔽 139 , 445 端口同样可以阻止 ipc$ 入侵。
1 ) 139 端口可以通过禁止 NBT 来屏蔽
本地连接- TCP/IT 属性-高级- WINS -选‘禁用 TCP/IT 上的 NETBIOS '一项
2 ) 445 端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: SystemControlsetServicesNetBTParameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用 ipc$ 入侵别人。
6 设置复杂密码,防止通过 ipc$ 穷举出密码,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。
