默認共享

IPC$

IPC$(Internet Process Connection)是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用户名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。

利用IPC$,連接者可以與目標主機建立一個空的連接，即無需用户名和密碼就能連接主機，當然這樣連接是沒有任何操作權限的。但利用這個空的連接，連接者可以得到目標主機上的用户列表。

利用獲得的用户列表，就可以猜密碼，或者窮舉密碼，從而獲得更高，甚至管理員權限。

只要通過IPC$，獲得足夠的權限，就可以在主機上運行程序、創建用户、把主機上C、D、E等邏輯分區共享給入侵者，主機上的所有資料，包括QQ密碼、email賬號密碼、甚至存在電腦裏的信用卡資料都會暴露在入侵者面前。

要防止別人用ipc$和默認共享入侵，需要禁止ipc$空連接，避免入侵者取得用户列表，並取消默認共享。

禁止ipc$空連接進行枚舉

運行regedit，找到如下組鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為：00000001

Value：0x0(缺省)

0x1 匿名用户無法列舉本機用户列表

0x2 匿名用户無法連接本機IPC$共享

説明:不建議使用2，否則可能會造成你的一些服務無法啓動，如SQL Server

關閉139與445端口

ipc$連接是需要139或445端口來支持的，139端口的開啓表示netbios協議的應用，通過139,445(win2000)端口實現對共享文件/打印機的訪問，因此關閉139與445端口可以禁止ipc$連接。

關閉139端口可以通過禁用 netbios 協議來實現。

139端口關閉方法：控制面板-＞網絡和撥號連接-＞本地連接，點屬性按鈕進入“本地連接 屬性”頁面，選擇“Internet 協議 (TCP/IP)”，然後點屬性按鈕，在彈出窗口點高級按鈕，然後選擇WINS標籤，點“禁用 TCP/IP 上的 NetBios”，最後確定退出。

445端口關閉方法：運行regedit，找到項[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]，建立名稱為SMBDeviceEnabled，DWORD類型的鍵，值為00000000。

刪除已有的共享

運行

net share ipc$ /del

net share admin$ /del

net share c$ /del

net share d$ /del

…………（有幾個刪幾個）

OR：建立新TXT文件，輸入：

ECHO OFF

NET SHARE C$ /DELETE

NET SHARE D$ /DELETE

NET SHARE E$ /DELETE

NET SHARE F$ /DELETE

NET SHARE G$ /DELETE

NET SHARE H$ /DELETE

NET SHARE ADMIN$ /DELETE

NET SHARE IPC$ /DELETE

ECHO ON

（有更多分區的話繼續加，I$ J$ ……）

另存為 noshare.bat 放在系統目錄下，建立快捷方式到“開始”菜單的“啓動”組。 這樣每次啓動的時候都自動刪除共享。

或者在“控制面板-＞管理工具-＞計算機管理”裏的“共享文件夾-＞共享”中刪除。

修改註冊表

刪除了共享，下一次啓動時還是會自動打開共享，要永久關閉需要修改註冊表

IPC$、Admin$和C$、D$都不同，在註冊表的修改是不同的。你所改的只是禁止了C$、D$。而沒有禁止IPC$。

禁止C$、D$管理共享

對於服務器而言：

修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

Name：AutoShareServer

Type：DWORD

Value：0

對於工作站而言：

修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

Name：AutoShareWks

Type：DWORD

Value：0

修改註冊表後需要重啓Server服務或重新啓動機器。

注：這些鍵值在默認情況下在主機上是不存在的，需要自己手動添加。

禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

Name：AutoShareWks

Type：REG_DWORD

Value：0x0

另外:

A、關閉ipc$和默認共享依賴的服務（不推薦）

net stop lanmanserver

可能會有提示説，XXX服務也會關閉是否繼續。因為還有些次要的服務依賴於lanmanserver。一般情況按y繼續就可以了。

B、最簡單的辦法是設置複雜密碼，防止通過ipc$窮舉密碼。但如果你有其他漏洞，ipc$將為進一步入侵提供方便。

C、裝防火牆，或者端口過濾。

禁止具有管理員權限的賬户通過網絡訪問

譬如説在管理員組我有兩個賬户“administrator”和“123”，那麼我只需要將這兩個用户名添加到禁止通過網絡訪問就可以了，打開“本地安全設置”，找到“本地策略”下的“用户權利指派”，在其右側的“拒絕從網絡訪問這台計算機”裏添加“administrator”和“123”這兩個賬户，這樣的話默認共享就失去了原有的功能了。