Computer Defence

[pre]IPC$共享是为管理系统而设置的，关闭之后，当机器下次重新启动的时候，会自动重建。也就是说，IPC$共享无法彻底关闭，这是系统的需要。如果一定要完全关闭IPC$共享，可以在“管理工具→服务”中，停止Server服务，但这样的话，系统中的所有共享也将不复存在. 一 什么是ipc$ IPC$(Internet Process Connection)是共享"命名管道"的资源(大家都是这么说的)，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的)，而利用这个空的连接，连接者还可以得到目标主机上的用户列表(不过负责的管理员会禁止导出用户列表的)。我们总在说ipc$漏洞ipc$漏洞,其实,ipc$并不是真正意义上的漏洞,它是为了方便管理员的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)所有的这些,初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者(到底是什么用心?我也不知道,代词一个)会利用IPC$，访问共享资源,导出用户列表,并使用一些字典工具，进行密码探测,寄希望于获得更高的权限,从而达到不可告人的目的.7，怎样防止别人用ips$和默认共享入侵我？A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。1，先把已有的删除net share ipc$ /delnet share admin$ /delnet share c$ /del…………（有几个删几个）2，禁止建立空连接首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous（DWORD）的键值改为：00000001。3，禁止自动打开默认共享对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices LanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。如果上面所说的主键不存在，就新建一个再改键值。B、另一种是关闭ipc$和默认共享依赖的服务（不推荐）net stop lanmanserver可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。D、还有一个办法就是装防火墙，或者端口过滤。防火墙的方法就不说了，端口过滤看这里：过配置本地策略来禁止139/445端口的连接还有一些相关资料,你可以去http://www.ec66.com/article/list.asp?indexid=2200看下~~一般来说,装有防火墙的话,可以无视这个东西.... [/pre]
参考资料： 〖文章转载或出处〗≡中国电子技术信息网≡ 网址：www.EC66.com

版权声明

1、转载或引用本网站内容须注明原网址，并标明本网站网址(www.gerfans.cn)。

2、转载或引用本网站中的署名文章，请按规定向原作者支付稿酬。

3、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失，本网站不承担责任。

4、对不遵守本声明或其他违法、恶意使用本网站内容者，本网站保留追究其法律责任的权利。

本文地址: https://bbs.gerfans.cn/thread-160296-1-1.html

用组策略不是可以防止远程用户直接通过$来访问各盘符根目录吗？

不懂这些

引用第1楼krauser于2010-10-05 07:58发表的 :
用组策略不是可以防止远程用户直接通过$来访问各盘符根目录吗？

                               
登录/注册后可看大图

貌似是这样的
不过微软的BackDoor 连国安都可能搞不明白
何况是我们这些P民呢