什么是“IPC$入侵”?我又该如何防范入侵呢?
IPC$是Windows系统特有的一项管理功能,是微软公司为了方便用户使用计算机而设计的,主要用来远程管理计算机的。但事实上使用这个功能最多的人不是网络管理员,而是“入侵者”!他们通过建立IPC$连接与远程主机实现通信和控制。通过IPC$连接的建立,入侵者能够做到:
è 建立、拷贝、删除远程计算机文件;
è 在远程计算机上执行命令。
(1)什么是IPC
IPC是英文Internet Process Connection的缩写,可以理解为“命名管道”资源,它是Windows操作系统提供的一个通信基础,用来在两台计算机进程之间建立通信连接,而IPC后面的“$”是Windows系统所使用的隐藏符号,因此“IPC$”表示IPC共享,但是是隐藏的共享。IPC$是Windows NT及Windows 2000/XP/2003特有的一项功能,通过这项功能,一些网络程序的数据交换可以建立在IPC上面,实现远程访问和管理计算机。打个比方,IPC连接就像是挖好的地道,通信程序就通过这个IPC地道访问目标主机。默认情况下IPC是共享的,除非手动删除IPC$。通过IPC$连接,入侵者就能够实现远程控制目标主机。因此,这种基于IPC的入侵也常常被简称为IPC入
另外,奉上如何防范ipc$入侵的方法!勿见笑!
1.禁止建立,空连接
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)
2。禁止默认共享(有两种方法)
一,never最喜欢的,编写一个批处理文件,添加到启动项
记事本中写入:
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net stop server /y (停止server服务)
二。修改注册表(我头痛)
运行-regedit
server版:找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
注:如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
其实,安装个网络防火墙也是比较好办法!
|
