04IPC$入侵--安全解决方案

IPC$入侵:安全解决方案安全解决方案:IPC$为入侵者远程连接目标主机提供了可能。入侵者所使用的工具中有很多是基于IPC$来实现的。可见，IPC$在为管理员们提供了方便操作的同时，也留下了严重的安全隐患。因此，如果成功地阻止了IPC$入侵，也就阻挡了相当一部分入侵者。1．删除默认共享①删除共享资源，这里介绍两种方法。方法一：通过BAT文件执行删除共享资源命令。方法二：通过修改注册表来删除默认共享。在“运行”对话框中键入“regedit”命令打开注册表编辑器，如图所示。然后找到下列键值进行修改。Windows2000：Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters新建Name:AutoShareServerType:DWORD（双字节）Value:0按上述方法建立后，在重新启动计算机后，默认共享即被删除。如果需要使用共享资源，则删除刚才建立的键，重新启动后生效。2．禁止空连接攻击的方法有了IPC$空连接作为连接基础，入侵者可以进行反复的试探性连接，直到连接成功、获取密码。可见，IPC$为入侵者通过暴力破解来获取远程主机管理员密码提供了可能性，被入侵只是时间问题。下面介绍如何禁止空连接进攻击。打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]中把RestrictAnonymous=DWORD的键值改为：00000001，也可以改成2，不过改成2的话可能造成一些服务不能正常工作。修改完毕后重新启动计算机，这样便禁止了空连接进行枚举攻击。不过要说明的是，这种方法并不能禁止建立空连接。3．关闭Server服务Server服务是IPC$和默认共享所依赖的服务，如果关闭Server服务，IPC$和默认共享便不存在，但同时也使服务器丧失其他一些服务功能，因此该方法不适合服务器使用，只适合个人计算机使用。通过“控制面板”→“管理工具”→“服务”打开服务管理器，在服务管理器的服务列表中找到Server服务，使用鼠标右击该服务，在弹出的菜单中选择“属性”，然后选择“禁用”，修改成功后重新启动。重新启动计算机后修改生效，此时再使用IPC$与该主机进行连接，如图所示，可见已经不能与该机建立IPC$。除上述方法外，也可使用DOS命令来关闭Server服务。使用命令“netstopserver/y”来关闭Server服务，但该命令只能生效一次，计算机重新启动后Server服务还会自动开启。