广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 7448 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[资讯教学] 全力防堵IPC$漏洞攻击 删除系统预设共用资源有一套
全力防堵IPC$漏洞攻击 删除系统预设共用资源有一套

前言:别以为删除勾选「网路上的芳邻」内的资料夹之「网路共用」项目,电脑系统当中,就不再有其他分享共用的档案或资源,事实上,无论Windows NT、2000或XP等系统,皆预设开放一些逻辑磁碟、Windows系统根目录夹,以及IPC服务,管理人员或使用者若没有妥当管理这些共用资源,很可能会成为骇客入侵或预留木马、后门的漏洞。本文主要锁定探讨如何将系统中一些预设共用资源关闭的方法,以杜绝不必要的安全问题。
随着骇客攻击的问题日渐猖獗,多数人都知道,在「网路上的芳邻」开启共用资料夹,是件非常危险的事情,为了防止这些共用资料夹成为骇客入侵攻击的后门,因此多半会将资料夹的共用选项关闭。

这么做,的确可以取消资料夹共用的状态,但事实上,系统中仍然存在许多已经预设好的潜在共用项目,而且这些共用资料的外观,甚至完全没有「分享手形」图示,使用者若非透过特定系统元件或指令,很难透过「网路上的芳邻」或任何图示察其端倪。

在Windows NT、2000及XP系统中,基于管理人员远端系统登录及管理之便,遂有所谓的「网际网路行程连接」(Internet Process Connection;IPC)系统服务,该服务可让不同电脑之间的行程相互连接并交换资料。藉由IPC服务,管理人员可透过具备管理权限的帐号、密码建立安全连线,以进行远端各端点电脑之系统存取及管理作业。

为了顺利执行远端电脑的存取管理工作,IPC服务会预设开启一些资源及服务的共用,包括预设共用所有逻辑磁碟(C$、D$、E$....),以及预设开启Admin$远端管理,也就是存放作业系统主程式所在目录(如C:下的Windows或Winnt目录)之共用。

虽然预设开放上述服务及共用的目的,全是为了便于远端管理,但若没有适当加以控管,很可能会成为骇客入侵的漏洞,例如骇客或有心员工可能透过其他探测工具或间谍软体,而获得使用者、甚至管理者的帐号与密码,如此一来,就可以轻易透过浏览器,存取目标电脑中的各项共用资源;如果目标电脑根本就没有设定密码,那么,更无异是门户大开。

即使使用者只留下没有任何预设共用可供连接的IPC$服务,也就是已关闭其他共用资料夹或Admin$远端服务,骇客依旧可透过单独的IPC$服务连上目标电脑,就算在没有任何共用分享及存取权限的情况下,仍可能窃得目标主机上的用户列表,并可能透过Port 139、145来存取目标电脑上的其他共用档案或印表机。

针对以上种种安全隐忧,一般多称之为IPC$漏洞或IPC$攻击,而本文将进一步探讨关闭电脑系统中各种预设共用资源、服务及资料夹的方法,尤其会探讨如何透过一些元件或工具,来删除IPC$服务,以确保电脑系统的安全性。

[backcolor=rgb(204,]检视系统中有哪些共用资料夹或服务

为了安全起见,使用者可将不必要的系统共用关闭,以杜绝任何可能的IPC$恶意攻击。当然,在此之前,使用者可以先检视一下,现行电脑之中,到底存在哪些共用名称及资源,以下提供2种检视方法:

‧方法1:命令列检视


1.点选「开始功能表」,并点取「执行」。


2.在「执行」视窗中,输入“cmd”指令,点选「确定」。

3.接下来会出现cmd命令列视窗,在命令列提示符号下输入“Net Share”指令。


4.此时,画面会出现具备「共用名称」、「资源」及「说明」等3个栏位的详细共用资讯。在一般预设状况下,使用者应该会看到C$、D$等逻辑磁碟之共用,以及Admin$、IPC$等远端管理资源及服务之共用。
若使用者的电脑内不只有1颗硬碟,或是分割成很多磁碟槽,栏位当中也会列出其他逻辑磁碟的名称;除此之外,使用者如果另外分享了一些资料夹,也会在该栏位中一并列出。

‧方法2:「电脑管理」元件检视

1.进入并开启「开始功能表/控制台/系统管理工具/服务」元件。


2.打开左边栏位中的「共用资料夹」并选取「共用」,此时,右边栏位会显示所有的共用资料夹及服务。

[backcolor=rgb(204,]关闭共用资料夹及服务的方法

透过上述2种方法,即可知道现有电脑系统中,存在哪些共用资源及资料夹,皆下来,就可以开始着手关闭或删除共用,不过,使用者必须先确定本身是否具备系统管理者权限,否则将无法执行以下作业。

欲关闭系统共用资料夹及资源,大致可从关闭系统服务、于命令列下达删除(Del)指令,以及修改登录设定等3大类难易程度不同的方式来进行。针对不同系统的状况或特殊需求,又可由此3类方式,衍生出以下多种方法:

‧方法1:关闭系统服务

进入「服务」管理工具元件中,直接停止伺服器服务,这应该是最简单且直接的方法,不过,服务一旦停止,原本透过网路与自己电脑相连结的所有连线,都将因此中断,而其中所有档案、列印及具名管道、资料夹之共用功能,全部无法使用。关闭的步骤如下:

1.进入并开启「开始功能表/控制台/系统管理工具/服务」元件。


2.在右边名称栏位中双击“Server”服务,进入「Server内容(本机电脑)」视窗中。


3.在「服务状态」下点取「停止」,然后按「确定」,即可关闭Server服务,同时系统中所有相关的共用资料夹及服务,也将因此悉数关闭。


4.此一做法只是暂时性的,因为只要使用者的电脑重新开机,Server服务又会自动重新开启,换句话说,所有原先预设的共用资料夹及服务,也会正常运作。若使用者想要长久性地关闭Server服务,可以先在「Server内容(本机电脑)」视窗中的「启动类型」选项,将原先的「自动」更改为「手动」,然后再按「停止」即可。最方便的作法是,直接在「启动类型」中选择「已停用」,如此一来,即使重新开机,Server服务仍处于关闭状态。

‧方法2:透过命令列工具直接删除

对于不熟悉命令列及指令操作的使用者而言,比起前1个方法,直接透过命令列工具下达指令的删除方式,虽然稍微麻烦一点,但是却可针对特定的共用资料夹或服务进行移除,使用上比较有弹性。以下即为命令列工具删除共用的步骤:

1.进入「开始功能表/执行」小视窗,输入“cmd”指令,并进入「cmd命令列工具视窗」。


2.接下来,分别输入以下指令,关闭各共用逻辑磁碟及Admin$、IPC$等远端共用服务:
‧net share c$ /del(删除逻辑共用碟c:/,请注意c$后面有空格)
‧net share d$ /del(删除逻辑共用碟d:/,如果系统中还有e、f…等槽,可继续下达net share e$ /del等指令)
‧net share admin$ /del(删除远端管理服务,亦即系统根目录之共用)
‧net share ipc$ /del(删除远端IPC服务)


3.透过上述各指令,即可一一将所有预设共用资料夹及资源关闭。不过,若使用者采用的是Windows XP作业系统,并无法直接删除IPC$共用服务,而且画面上也会出现「系统错误、存取被拒」的警告讯息,但是基本上,只要关闭共用逻辑磁碟以及Admin$共用服务,即可达到防止IPC攻击的可能性,因为剩下未关的IPC$服务,并没有任何共用资源可供连结。

‧方法3:制作删除共用批次档

上述方法2的步骤,也只是暂时性的删除,因为只要重开机,原本已删除的所有预设共用,又将全部重新启动。接下来,将介绍透过制作批次档的方式,达到每次开机时都自动删除预设共用的目的。


1.开启记事本,将方法3中所下的指令:Net share c$ /del、net share d$ /del、net share admin$ /del、net share ipc$ /del一一写在记事本上。

2.以“××.bat”之命名方式,另存新档成批次档(范例图中乃以「删除共用.bat」来命名)。


3.将制作好的批次档,拖放到「开始功能表/所有程式/启动」之中,如此一来,每次开机时,皆会自动执行此一批次档,也就是每次开机,都会自动执行删除所有共用的动作。

‧方法4:修改登录档设定

使用者若熟悉登录档之相关编辑及设定,直接修改登录档会是最直接的作法,不需要制作批次档,即可达到永久删除预设共用的目的。不过,由于系统登录档对系统正常运作影响重大,所以在修改之前,还是先另行备份比较妥当。

使用者在Windows NT/2000 Server中所要修改的是“parameters”机码下的“AutoShareServer”DWORD值。若在Windows XP Professional下,则是修改“parameters”机码下的“AutoShareWks”DWORD值。


1.在「执行」视窗中输入“regedit”指令,点选「确定」。


2.接着会开启「登录编辑程式」,从中寻找“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”下的AutoShareWks机值。(注:WinNT/2000要找的则是“AutoShareServer”机值)


3.如果确定没有该机码,使用者可自行建立。在“parameters”机码下的右边栏位中,点取滑鼠右键并选择「新增/DWORD值」,接着于新增机值上取名为“AutoShareWks”。


4.然后在该机码上双击滑鼠左键,打开「编辑DWORD值」小视窗,将其中的「数值资料」改为“0”,即完成删除预设共用的修改动作。

‧方法5:无预设共用可连接之IPC$服务的登录档修改法

本方法适用于已透过命令列工具(参见方法2)将各种预设共用逻辑磁碟,以及Admin远端管理服务悉数关闭,但是却无法关闭IPC服务的Windows XP Pro使用者。尽管Windows XP系统下无法删除IPC$共用服务,但是该IPC已经没有任何可连接的共用资源,因此,原则上应该不会发生IPC$恶意攻击的情形。如果使用者仍不放心,可藉由登录档编辑程式删除该共用服务。

1.仿照方法4的步骤1,开启「登录编辑程式」。

2.进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”机码下,找到“restrictanonymous”DWORD值。


3.以滑鼠左键双击该机值,将数值资料中原先预设的数值“0”改成“1”,如此即可将原有IPC共用服务删除。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-12-27 14:36 |
highgreen
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x11
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

谢谢那么深入的解释,可是如果都关掉,会不会影响上网呢


献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2007-12-28 12:12 |
BrianFan
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x5 鲜花 x13
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我想应该是不会啦!
因为我也都这样做啦!
所以我想你可以安心使用!
而且又是不用安装任何东西!


献花 x0 回到顶端 [2 楼] From:台湾新世纪 | Posted:2008-06-16 16:06 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.056525 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言