1、使用NET SHARE命令
在命令提示行输入:NET SHARE X$ /DELETE,可以停止共享。其中X$表示系统默认共享,如C$、D$、ADMIN$、IPC$等,/DELETE前必须要有空格。可以使用NET SHARE ADMIN$或NET SHARE IPC$建立ADMIN$或NET SHARE IPC$共享(如果共享存在,则为显示共享),其它共享不能按此法建立。
2、在计算机管理中直接停止共享
右击我的电脑→管理→共享文件夹→共享→右击需要停止的共享→停止共享。
3、 编辑注册表
使用前面两种方法停止系统默认共享,在系统重新启动后,又恢复了共享,可以通过修改注册表的方法,永久停止系统默认共享。
在注册表中找到如下组键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建DWORD类型的键,键名AutoShareServer,键值设为0。
但IPC$共享不受此影响,要想停止IPC$共享,可建立一个批处理文件stopipc.bat,内容包括net share ipc$ /delete一行,然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时,可停止IPC$共享,当以其它用户登录时,因不能执行NET命令,不能停止IPC$共享。
防止ICMP数据包攻击
PING 是基于ICMP协议的,为了防止洪水式的ICMP数据包攻击,可以进行以下设置:
1、 开始→运行→mmc→控制台→添加/删除管理单元→添加→选定“IP安全策略管理”→添加→选“本地计算机”选项→单击完成→关闭→确定→右击左边选项“IP策略在本地机器”→创建IP策略→下一步→输入策略名称,为“STOPPING”→下一步→出现身份认证的方式,选“此字串用来密码保护密钥交换”,输入验证密钥“20021206” →下一步→完成。
2、 然后出现STOPPING属性→点击添加→下一步→下一步→网络类型为“所有网络连接”→下一步→选“此字串用来保护密钥交换”,这里输入20021206→下一步→出现IP筛选器列表→添加→出现对话框再点击“添加”→出现筛选器向导,点击下一步→出现IP通信源,选择源地址为“我的IP地址”→下一步→目标地址为“所有IP地址”→下一步→选择协议类别为“ICMP”→下一步→完成→关闭→选择刚建立的“新IP筛选器列表”→下一步→选择“要求安全设置”→下一步→完成→关闭。
3、右击刚建立的IP安全策略名称(STOPPING)→指派,即可让规则生效。
通过以上设置,从其它机器PING本机,就无法返回数据包,这样就可防止ICMP数据包攻击。
另外,也可以在本地安全策略中进行设置,开始→程序→管理工具→本地安全策略→右击“IP安全策略,在本地机器”→创建IP安全策略,后续操作与在MMC中操作相同。
禁止匿名枚举账户
默认情况下,任何用户可通过空连接连上服务器,枚举账号并通过字典工具或穷举破解口令。可以通过以下三种方法禁止匿名枚举账户:
1、停止IPC$共享,参见停止默认共享
2、修改注册表将LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA-RESTRICTANONYMOUS的值改为2。一般的资料中,都是说要改为1。事实上,经过测试,如果改为1,仍然可以利用一些扫描工具如CNIPC建立空连接(前提是没有停止IPC$共享),枚举域控制器上的账户、口令。
3、修改Windows 2000的本地安全策略。将“本地安全策略→本地策略→安全选项→对匿名连接的额外限制”策略设置为“没有显式匿名权无法访问”,而不是“不容许枚举SAM账号和共享”。
注意:2、3达到的效果是一样的,通过2或3设置后,如果工作站(Windows 98)不是登录到域而是登录到工作组,且组名与域控制器的NETBIOS域名相同,则不能浏览网上邻居里的任何机器。解决的办法有两个:
◆ Windows 98工作站登录到域;
◆ 工作站登录到工作组,所在工作组名改成与域控制器的NETBIOS域名不同即可。
在网上邻居隐藏计算机名
如果要想让自己的机器名不在网上邻居上显示,可以修改注册表:
在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS中增加DWORD型子键HIDDEN ,值为1,可在网上邻居上隐藏计算机。但\\机器名,可访问。
禁用NETBIOS协议
NETBIOS是简单友好的机器名表达法,如\\SERVERNAME\SHARENAME,如果开放这个功能,攻击者可以使用端口扫描软件测试出具有端口137和139监听的机器,从而进一步使用NETBIOS名尝试获取系统资源的访问权。右击“网上邻居”→属性→右击连接名(一般取名为本地连接)→属性→常规→选中INTERNET协议(TCP/IP)→属性→高级→WINS→选择“禁用TCP/IP上的NetBIOS”,则网上邻居上看不到该机器。在其它计算机上也不可访问\\机器名,但本机可访问\\机器名。
关闭不必要的端口
缺省情况下,所有端口都开放,这对安全是一个严重的威胁,根据实际需要,只开放必要的端口,关闭其余端口。具体操作如下:右击“网上邻居”→属性→右击连接名(一般取名为本地连接)→属性→常规→选中INTERNET协议(TCP/IP)→属性→高级→选项→选中TCP/IP筛选→属性→选中“启用TCP/IP筛选(所有适配器)”,对TCP/IP/UDP分别添加只允许启用的端口。
停止不必要的服务
在“服务”中对不需要使用的服务进行停止,可改为手动启动方式,在下次启动系统时不被启动。
在命令提示行输入:NET SHARE X$ /DELETE,可以停止共享。其中X$表示系统默认共享,如C$、D$、ADMIN$、IPC$等,/DELETE前必须要有空格。可以使用NET SHARE ADMIN$或NET SHARE IPC$建立ADMIN$或NET SHARE IPC$共享(如果共享存在,则为显示共享),其它共享不能按此法建立。
2、在计算机管理中直接停止共享
右击我的电脑→管理→共享文件夹→共享→右击需要停止的共享→停止共享。
3、 编辑注册表
使用前面两种方法停止系统默认共享,在系统重新启动后,又恢复了共享,可以通过修改注册表的方法,永久停止系统默认共享。
在注册表中找到如下组键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建DWORD类型的键,键名AutoShareServer,键值设为0。
但IPC$共享不受此影响,要想停止IPC$共享,可建立一个批处理文件stopipc.bat,内容包括net share ipc$ /delete一行,然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时,可停止IPC$共享,当以其它用户登录时,因不能执行NET命令,不能停止IPC$共享。
防止ICMP数据包攻击
PING 是基于ICMP协议的,为了防止洪水式的ICMP数据包攻击,可以进行以下设置:
1、 开始→运行→mmc→控制台→添加/删除管理单元→添加→选定“IP安全策略管理”→添加→选“本地计算机”选项→单击完成→关闭→确定→右击左边选项“IP策略在本地机器”→创建IP策略→下一步→输入策略名称,为“STOPPING”→下一步→出现身份认证的方式,选“此字串用来密码保护密钥交换”,输入验证密钥“
2、 然后出现STOPPING属性→点击添加→下一步→下一步→网络类型为“所有网络连接”→下一步→选“此字串用来保护密钥交换”,这里输入20021206→下一步→出现IP筛选器列表→添加→出现对话框再点击“添加”→出现筛选器向导,点击下一步→出现IP通信源,选择源地址为“我的IP地址”→下一步→目标地址为“所有IP地址”→下一步→选择协议类别为“ICMP”→下一步→完成→关闭→选择刚建立的“新IP筛选器列表”→下一步→选择“要求安全设置”→下一步→完成→关闭。
3、右击刚建立的IP安全策略名称(STOPPING)→指派,即可让规则生效。
通过以上设置,从其它机器PING本机,就无法返回数据包,这样就可防止ICMP数据包攻击。
另外,也可以在本地安全策略中进行设置,开始→程序→管理工具→本地安全策略→右击“IP安全策略,在本地机器”→创建IP安全策略,后续操作与在MMC中操作相同。
禁止匿名枚举账户
默认情况下,任何用户可通过空连接连上服务器,枚举账号并通过字典工具或穷举破解口令。可以通过以下三种方法禁止匿名枚举账户:
1、停止IPC$共享,参见停止默认共享
2、修改注册表将LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA-RESTRICTANONYMOUS的值改为2。一般的资料中,都是说要改为1。事实上,经过测试,如果改为1,仍然可以利用一些扫描工具如CNIPC建立空连接(前提是没有停止IPC$共享),枚举域控制器上的账户、口令。
3、修改Windows 2000的本地安全策略。将“本地安全策略→本地策略→安全选项→对匿名连接的额外限制”策略设置为“没有显式匿名权无法访问”,而不是“不容许枚举SAM账号和共享”。
注意:2、3达到的效果是一样的,通过2或3设置后,如果工作站(Windows 98)不是登录到域而是登录到工作组,且组名与域控制器的NETBIOS域名相同,则不能浏览网上邻居里的任何机器。解决的办法有两个:
◆ Windows 98工作站登录到域;
◆ 工作站登录到工作组,所在工作组名改成与域控制器的NETBIOS域名不同即可。
在网上邻居隐藏计算机名
如果要想让自己的机器名不在网上邻居上显示,可以修改注册表:
在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS中增加DWORD型子键HIDDEN ,值为1,可在网上邻居上隐藏计算机。但\\机器名,可访问。
禁用NETBIOS协议
NETBIOS是简单友好的机器名表达法,如\\SERVERNAME\SHARENAME,如果开放这个功能,攻击者可以使用端口扫描软件测试出具有端口137和139监听的机器,从而进一步使用NETBIOS名尝试获取系统资源的访问权。右击“网上邻居”→属性→右击连接名(一般取名为本地连接)→属性→常规→选中INTERNET协议(TCP/IP)→属性→高级→WINS→选择“禁用TCP/IP上的NetBIOS”,则网上邻居上看不到该机器。在其它计算机上也不可访问\\机器名,但本机可访问\\机器名。
关闭不必要的端口
缺省情况下,所有端口都开放,这对安全是一个严重的威胁,根据实际需要,只开放必要的端口,关闭其余端口。具体操作如下:右击“网上邻居”→属性→右击连接名(一般取名为本地连接)→属性→常规→选中INTERNET协议(TCP/IP)→属性→高级→选项→选中TCP/IP筛选→属性→选中“启用TCP/IP筛选(所有适配器)”,对TCP/IP/UDP分别添加只允许启用的端口。
停止不必要的服务
在“服务”中对不需要使用的服务进行停止,可改为手动启动方式,在下次启动系统时不被启动。
