如何关闭 IPC共享

共享

经过个人的经历，以下几种种方法可以参考一下。
1、这种办法是在  CMD（命令提示符）中进行关闭，如下：
net share ipc$ /del   
net share admin$ /del  
net share c$ /del  
…………（有几个删几个）  

2，禁止建立空连接步骤如下

       首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]  把RestrictAnonymous（DWORD）的键值改为：00000001。  

IPC$共享是为管理系统而设置的，关闭之后，当机器下次重新启动的时候，会自动重建。也就是说，IPC$共享无法彻底关闭，这是系统的需要。如果一定要完全关闭IPC$共享，可以在“管理工具→服务”中，停止Server服务，但这样的话，系统中的所有共享也将不复存在.

3，禁止自动打开默认共享  
　　对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。  
       对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。  
4，另一种是关闭ipc$和默认共享依赖的服务（不推荐）  
net stop lanmanserver  
可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

主编建议  
最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步**提供方便。  
还有一个办法就是装防火墙，或者端口过滤。

更切的话你的IPC连接一般都是需要的开着也没事，只要按着上篇文章的方法将盘符的共享关闭，和以前的文章中关闭一些端口就可以了！

IPC$共享通道的安全

　　IPC$共享通道按微软的本意是用来方便网管的，可是自从被黑客利用以后，IPC$入侵就成为最简单的入侵方式。

　　建议大家关闭这个危险的IPC$共享通道。

　　1.在regedit中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl

　　LSA中新建一个字串RestrictAnonymous.并把值设为1，这样可以禁止IPC$空连接

　　2.删除系统所有的默认共享。

　　这里有两种办法，一个是把net share c$/del，net share d$/del 等写一个批处理文件，之后把他放到启动组里面。这样每次开机就会删除默认共享。二是修改注册表以次打开一下健：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters对于服务器，新建一个DWORD类型的键值，取名AutoShareServer值设定为0对于工作站，新建一个DWORD类型的键值，取名AutoShareWks值设定为0

　　注意：如果是大型的服务器，特别是DC，就不推荐大家删除默认的共享。要访问默认的共享全依赖管理员的权限。只要管理好管理员的用户密码就可以了。相反如果关闭默认共享，则很多事情事情不能做，比如：DFS，域和域之间的复制等都无法实现。

將"我的電腦"->"內容"->"遠端"頁->"遠端協助"欄裡的"允許從這部電腦發出遠端協助的要求"這個不勾取

默认共享： 
在Windows 2000/XP/2003系统中，逻辑分区与Windows目录默认为共享，这是为管理员管理服务器的方便而设，但却成为了别有用心之徒可趁的安全漏洞。 

IPC$ 
IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。 

利用IPC$,连接者可以与目标主机建立一个空的连接，即无需用户名和密码就能连接主机，当然这样连接是没有任何操作权限的。但利用这个空的连接，连接者可以得到目标主机上的用户列表。 
利用获得的用户列表，就可以猜密码，或者穷举密码，从而获得更高，甚至管理员权限。 

只要通过IPC$，获得足够的权限，就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者，主机上的所有资料，包括QQ密码、email帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。 

要防止别人用ipc$和默认共享入侵，需要禁止ipc$空连接，避免入侵者取得用户列表，并取消默认共享。 

禁止ipc$空连接进行枚举 
运行regedit，找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001 

关闭139与445端口 
ipc$连接是需要139或445端口来支持的，139端口的开启表示netbios协议的应用，通过139,445(win2000)端口实现对共享文件/打印机的访问，因此关闭139与445端口可以禁止ipc$连接。 

关闭139端口可以通过禁用 netbios 协议来实现。 
139端口关闭方法：控制面板->网络和拨号连接->本地连接，点属性按钮进入“本地连接 属性”页面，选择“Internet 协议 (TCP/IP)”，然后点属性按钮，在弹出窗口点高级按钮，然后选择WINS标签，点“禁用 TCP/IP 上的 NetBios”，最后确定退出。 

445端口关闭方法：运行regedit，找到项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]，建立名称为SMBDeviceEnabled，DWORD类型的键，值为00000000。 

关闭默认共享： 

1、删除已有的共享 
运行 
net share ipc$ /del 
net share admin$ /del 
net share c$ /del 
net share d$ /del 
…………（有几个删几个） 

或者在“控制面板->管理工具->计算机管理”里的“共享文件夹->共享”中删除。 

2、修改注册表 
删除了共享，下一次启动时还是会自动打开共享，要永久关闭需要修改注册表 
server版：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。 
pro版：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。 

== 

以下四种方法可以参考一下: 
A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。 
1，先把已有的删除 
net share ipc$ /del 
net share admin$ /del 
net share c$ /del 
…………（有几个删几个） 
2，禁止建立空连接 
      首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA] 

把RestrictAnonymous（DWORD）的键值改为：00000001。 
3，禁止自动打开默认共享 
      

对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerPara 

meters]把AutoShareServer（DWORD）的键值改为:00000000。 
对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把Au 

toShareWks（DWORD）的键值改为:00000000。 

B、另一种是关闭ipc$和默认共享依赖的服务（不推荐） 
net stop lanmanserver 
可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。 

C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。 

D、还有一个办法就是装防火墙，或者端口过滤