廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 7456 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[資訊教學] 全力防堵IPC$漏洞攻擊 刪除系統預設共用資源有一套
全力防堵IPC$漏洞攻擊 刪除系統預設共用資源有一套

前言:別以為刪除勾選「網路上的芳鄰」內的資料夾之「網路共用」項目,電腦系統當中,就不再有其他分享共用的檔案或資源,事實上,無論Windows NT、2000或XP等系統,皆預設開放一些邏輯磁碟、Windows系統根目錄夾,以及IPC服務,管理人員或使用者若沒有妥當管理這些共用資源,很可能會成為駭客入侵或預留木馬、後門的漏洞。本文主要鎖定探討如何將系統中一些預設共用資源關閉的方法,以杜絕不必要的安全問題。
隨著駭客攻擊的問題日漸猖獗,多數人都知道,在「網路上的芳鄰」開啟共用資料夾,是件非常危險的事情,為了防止這些共用資料夾成為駭客入侵攻擊的後門,因此多半會將資料夾的共用選項關閉。

這麼做,的確可以取消資料夾共用的狀態,但事實上,系統中仍然存在許多已經預設好的潛在共用項目,而且這些共用資料的外觀,甚至完全沒有「分享手形」圖示,使用者若非透過特定系統元件或指令,很難透過「網路上的芳鄰」或任何圖示察其端倪。

在Windows NT、2000及XP系統中,基於管理人員遠端系統登錄及管理之便,遂有所謂的「網際網路行程連接」(Internet Process Connection;IPC)系統服務,該服務可讓不同電腦之間的行程相互連接並交換資料。藉由IPC服務,管理人員可透過具備管理權限的帳號、密碼建立安全連線,以進行遠端各端點電腦之系統存取及管理作業。

為了順利執行遠端電腦的存取管理工作,IPC服務會預設開啟一些資源及服務的共用,包括預設共用所有邏輯磁碟(C$、D$、E$....),以及預設開啟Admin$遠端管理,也就是存放作業系統主程式所在目錄(如C:下的Windows或Winnt目錄)之共用。

雖然預設開放上述服務及共用的目的,全是為了便於遠端管理,但若沒有適當加以控管,很可能會成為駭客入侵的漏洞,例如駭客或有心員工可能透過其他探測工具或間諜軟體,而獲得使用者、甚至管理者的帳號與密碼,如此一來,就可以輕易透過瀏覽器,存取目標電腦中的各項共用資源;如果目標電腦根本就沒有設定密碼,那麼,更無異是門戶大開。

即使使用者只留下沒有任何預設共用可供連接的IPC$服務,也就是已關閉其他共用資料夾或Admin$遠端服務,駭客依舊可透過單獨的IPC$服務連上目標電腦,就算在沒有任何共用分享及存取權限的情況下,仍可能竊得目標主機上的用戶列表,並可能透過Port 139、145來存取目標電腦上的其他共用檔案或印表機。

針對以上種種安全隱憂,一般多稱之為IPC$漏洞或IPC$攻擊,而本文將進一步探討關閉電腦系統中各種預設共用資源、服務及資料夾的方法,尤其會探討如何透過一些元件或工具,來刪除IPC$服務,以確保電腦系統的安全性。

[backcolor=rgb(204,]檢視系統中有哪些共用資料夾或服務

為了安全起見,使用者可將不必要的系統共用關閉,以杜絕任何可能的IPC$惡意攻擊。當然,在此之前,使用者可以先檢視一下,現行電腦之中,到底存在哪些共用名稱及資源,以下提供2種檢視方法:

‧方法1:命令列檢視


1.點選「開始功能表」,並點取「執行」。


2.在「執行」視窗中,輸入“cmd”指令,點選「確定」。

3.接下來會出現cmd命令列視窗,在命令列提示符號下輸入“Net Share”指令。


4.此時,畫面會出現具備「共用名稱」、「資源」及「說明」等3個欄位的詳細共用資訊。在一般預設狀況下,使用者應該會看到C$、D$等邏輯磁碟之共用,以及Admin$、IPC$等遠端管理資源及服務之共用。
若使用者的電腦內不只有1顆硬碟,或是分割成很多磁碟槽,欄位當中也會列出其他邏輯磁碟的名稱;除此之外,使用者如果另外分享了一些資料夾,也會在該欄位中一併列出。

‧方法2:「電腦管理」元件檢視

1.進入並開啟「開始功能表/控制台/系統管理工具/服務」元件。


2.打開左邊欄位中的「共用資料夾」並選取「共用」,此時,右邊欄位會顯示所有的共用資料夾及服務。

[backcolor=rgb(204,]關閉共用資料夾及服務的方法

透過上述2種方法,即可知道現有電腦系統中,存在哪些共用資源及資料夾,皆下來,就可以開始著手關閉或刪除共用,不過,使用者必須先確定本身是否具備系統管理者權限,否則將無法執行以下作業。

欲關閉系統共用資料夾及資源,大致可從關閉系統服務、於命令列下達刪除(Del)指令,以及修改登錄設定等3大類難易程度不同的方式來進行。針對不同系統的狀況或特殊需求,又可由此3類方式,衍生出以下多種方法:

‧方法1:關閉系統服務

進入「服務」管理工具元件中,直接停止伺服器服務,這應該是最簡單且直接的方法,不過,服務一旦停止,原本透過網路與自己電腦相連結的所有連線,都將因此中斷,而其中所有檔案、列印及具名管道、資料夾之共用功能,全部無法使用。關閉的步驟如下:

1.進入並開啟「開始功能表/控制台/系統管理工具/服務」元件。


2.在右邊名稱欄位中雙擊“Server”服務,進入「Server內容(本機電腦)」視窗中。


3.在「服務狀態」下點取「停止」,然後按「確定」,即可關閉Server服務,同時系統中所有相關的共用資料夾及服務,也將因此悉數關閉。


4.此一做法只是暫時性的,因為只要使用者的電腦重新開機,Server服務又會自動重新開啟,換句話說,所有原先預設的共用資料夾及服務,也會正常運作。若使用者想要長久性地關閉Server服務,可以先在「Server內容(本機電腦)」視窗中的「啟動類型」選項,將原先的「自動」更改為「手動」,然後再按「停止」即可。最方便的作法是,直接在「啟動類型」中選擇「已停用」,如此一來,即使重新開機,Server服務仍處於關閉狀態。

‧方法2:透過命令列工具直接刪除

對於不熟悉命令列及指令操作的使用者而言,比起前1個方法,直接透過命令列工具下達指令的刪除方式,雖然稍微麻煩一點,但是卻可針對特定的共用資料夾或服務進行移除,使用上比較有彈性。以下即為命令列工具刪除共用的步驟:

1.進入「開始功能表/執行」小視窗,輸入“cmd”指令,並進入「cmd命令列工具視窗」。


2.接下來,分別輸入以下指令,關閉各共用邏輯磁碟及Admin$、IPC$等遠端共用服務:
‧net share c$ /del(刪除邏輯共用碟c:/,請注意c$後面有空格)
‧net share d$ /del(刪除邏輯共用碟d:/,如果系統中還有e、f…等槽,可繼續下達net share e$ /del等指令)
‧net share admin$ /del(刪除遠端管理服務,亦即系統根目錄之共用)
‧net share ipc$ /del(刪除遠端IPC服務)


3.透過上述各指令,即可一一將所有預設共用資料夾及資源關閉。不過,若使用者採用的是Windows XP作業系統,並無法直接刪除IPC$共用服務,而且畫面上也會出現「系統錯誤、存取被拒」的警告訊息,但是基本上,只要關閉共用邏輯磁碟以及Admin$共用服務,即可達到防止IPC攻擊的可能性,因為剩下未關的IPC$服務,並沒有任何共用資源可供連結。

‧方法3:製作刪除共用批次檔

上述方法2的步驟,也只是暫時性的刪除,因為只要重開機,原本已刪除的所有預設共用,又將全部重新啟動。接下來,將介紹透過製作批次檔的方式,達到每次開機時都自動刪除預設共用的目的。


1.開啟記事本,將方法3中所下的指令:Net share c$ /del、net share d$ /del、net share admin$ /del、net share ipc$ /del一一寫在記事本上。

2.以“××.bat”之命名方式,另存新檔成批次檔(範例圖中乃以「刪除共用.bat」來命名)。


3.將製作好的批次檔,拖放到「開始功能表/所有程式/啟動」之中,如此一來,每次開機時,皆會自動執行此一批次檔,也就是每次開機,都會自動執行刪除所有共用的動作。

‧方法4:修改登錄檔設定

使用者若熟悉登錄檔之相關編輯及設定,直接修改登錄檔會是最直接的作法,不需要製作批次檔,即可達到永久刪除預設共用的目的。不過,由於系統登錄檔對系統正常運作影響重大,所以在修改之前,還是先另行備份比較妥當。

使用者在Windows NT/2000 Server中所要修改的是“parameters”機碼下的“AutoShareServer”DWORD值。若在Windows XP Professional下,則是修改“parameters”機碼下的“AutoShareWks”DWORD值。


1.在「執行」視窗中輸入“regedit”指令,點選「確定」。


2.接著會開啟「登錄編輯程式」,從中尋找“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”下的AutoShareWks機值。(註:WinNT/2000要找的則是“AutoShareServer”機值)


3.如果確定沒有該機碼,使用者可自行建立。在“parameters”機碼下的右邊欄位中,點取滑鼠右鍵並選擇「新增/DWORD值」,接著於新增機值上取名為“AutoShareWks”。


4.然後在該機碼上雙擊滑鼠左鍵,打開「編輯DWORD值」小視窗,將其中的「數值資料」改為“0”,即完成刪除預設共用的修改動作。

‧方法5:無預設共用可連接之IPC$服務的登錄檔修改法

本方法適用於已透過命令列工具(參見方法2)將各種預設共用邏輯磁碟,以及Admin遠端管理服務悉數關閉,但是卻無法關閉IPC服務的Windows XP Pro使用者。儘管Windows XP系統下無法刪除IPC$共用服務,但是該IPC已經沒有任何可連接的共用資源,因此,原則上應該不會發生IPC$惡意攻擊的情形。如果使用者仍不放心,可藉由登錄檔編輯程式刪除該共用服務。

1.仿照方法4的步驟1,開啟「登錄編輯程式」。

2.進入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”機碼下,找到“restrictanonymous”DWORD值。


3.以滑鼠左鍵雙擊該機值,將數值資料中原先預設的數值“0”改成“1”,如此即可將原有IPC共用服務刪除。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-27 14:36 |
highgreen
數位造型
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x11
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

謝謝那麼深入的解釋,可是如果都關掉,會不會影響上網呢


獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2007-12-28 12:12 |
BrianFan
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x5 鮮花 x13
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我想應該是不會啦!
因為我也都這樣做啦!
所以我想你可以安心使用!
而且又是不用安裝任何東西!


獻花 x0 回到頂端 [2 樓] From:臺灣新世紀 | Posted:2008-06-16 16:06 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.060392 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言