[轉]關閉默認共享，禁止ipc$空連接

默認共享：
在Windows 2000/XP/2003系統中，邏輯分區與Windows目錄默認為共享，這是為管理員管理服務器的方便而設，但卻成為了別有用心之徒可趁的安全漏洞。

IPC$
IPC$(Internet Process Connection)是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。
利用IPC$,連接者可以與目標主機建立一個空的連接，即無需用戶名和密碼就能連接主機，當然這樣連接是沒有任何操作權限的。但利用這個空的連接，連接者可以得到目標主機上的用戶列表。
利用獲得的用戶列表，就可以猜密碼，或者窮舉密碼，從而獲得更高，甚至管理員權限。
只要通過IPC$，獲得足夠的權限，就可以在主機上運行程序、創建用戶、把主機上C、D、E等邏輯分區共享給入侵者，主機上的所有資料，包括QQ密碼、email帳號密碼、甚至存在電腦里的信用卡資料都會暴露在入侵者面前。

要防止別人用ipc$和默認共享入侵，需要禁止ipc$空連接，避免入侵者取得用戶列表，並取消默認共享。

禁止ipc$空連接進行枚舉
運行regedit，找到如下組鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為：00000001
Value：0x0(缺省)
0x1 匿名用戶無法列舉本機用戶列表
0x2 匿名用戶無法連接本機IPC$共享
說明:不建議使用2，否則可能會造成你的一些服務無法啟動，如SQL Server

關閉139與445端口
ipc$連接是需要139或445端口來支持的，139端口的開啟表示netbios協議的應用，通過139,445(win2000)端口實現對共享文件/打印機的訪問，因此關閉139與445端口可以禁止ipc$連接。
關閉139端口可以通過禁用 netbios 協議來實現。
139端口關閉方法：控制面板->網絡和撥號連接->本地連接，點屬性按鈕進入“本地連接
屬性”頁面，選擇“Internet 協議 (TCP/IP)”，然后點屬性按鈕，在彈出窗口點高級按鈕，然后選擇WINS標簽，點“禁用 TCP/IP 上的 NetBios”，最后確定退出。
445端口關閉方法：運行regedit，找到項[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]，建立名稱為SMBDeviceEnabled，DWORD類型的鍵，值為00000000。
關閉默認共享：
1、刪除已有的共享
運行
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
…………（有幾個刪幾個）
OR：建立新TXT文件，輸入：
ECHO OFF
NET SHARE C$ /Delete
NET SHARE D$ /Delete
NET SHARE E$ /Delete
NET SHARE F$ /Delete
NET SHARE G$ /Delete
NET SHARE H$ /Delete
NET SHARE ADMIN$ /Delete
NET SHARE IPC$ /Delete
ECHO ON
（有更多分區的話繼續加，I$ J$ ……）
另存為 noshare.bat 放在系統目錄下，建立快捷方式到“開始”菜單的“啟動”組。
這樣每次啟動的時候都自動刪除共享。
或者在“控制面板->管理工具->計算機管理”里的“共享文件夾->共享”中刪除。
2、修改注冊表
刪除了共享，下一次啟動時還是會自動打開共享，要永久關閉需要修改注冊表
IPC$、Admin$和C$、D$都不同，在注冊表的修改是不同的。你所改的只是禁止了C$、D$。而沒有禁止IPC$。
禁止C$、D$管理共享
對於服務器而言：
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name：AutoShareServer
Type：DWORD
Value：0
對於工作站而言：
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name：AutoShareWks
Type：DWORD
Value：0
修改注冊表后需要重啟Server服務或重新啟動機器。
注：這些鍵值在默認情況下在主機上是不存在的，需要自己手動添加。
禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name：AutoShareWks
Type：REG_DWORD
Value：0x0
另外:
A、關閉ipc$和默認共享依賴的服務（不推薦）
net stop lanmanserver
可能會有提示說，XXX服務也會關閉是否繼續。因為還有些次要的服務依賴於lanmanserver。一般情況按y繼續就可以了。