61阅读

关闭默认共享-关闭139与445端口删除默认共享

发布时间:2017-10-22 所属栏目:445端口

一 : 关闭139与445端口删除默认共享

只要通过IPC$,获得足够的权限,就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者,主机上的所有资料,包括QQ密码、email帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。
要防止别人用ipc$和默认共享入侵,需要禁止ipc$空连接,避免入侵者取得用户列表,并取消默认共享。
禁止ipc$空连接进行枚举
运行regedit,找到如下组键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous = DWORD的键值改为:00000001
关闭139与445端口
ipc$连接是需要139或445端口来支持的,139端口的开启表示netbios协议的应用,通过139,445(win2000)端口实现对共享文件/打印机的访问,因此关闭139与445端口可以禁止ipc$连接。
关闭139端口可以通过禁用 netbios 协议来实现。
139端口关闭方法:控制面板->网络和拨号连接->本地连接,点属性按钮进入“本地连接 属性”页面,选择“Internet 协议 (TCP/IP)”,然后点属性按钮,在弹出窗口点高级按钮,然后选择WINS标签,点“禁用 TCP/IP 上的 NetBios”,最后确定退出。
445端口关闭方法:运行regedit,找到项[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters],建立名称为SMBDeviceEnabled,DWORD类型的键,值为00000000。
关闭默认共享:
1、删除已有的共享
运行
net share ipc$ /del
net share admin$ /del
net share c$ /del
net share d$ /del
…………(有几个删几个)
或者在“控制面板->管理工具->计算机管理”里的“共享文件夹->共享”中删除。
2、修改注册表
删除了共享,下一次启动时还是会自动打开共享,要永久关闭需要修改注册表
server版:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer(DWORD)的键值改为:00000000。
pro版:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的键值改为:00000000。
==
以下四种方法可以参考一下:
A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。
1,先把已有的删除
net share ipc$ /del
net share admin$ /del
net share c$ /del
…………(有几个删几个)
2,禁止建立空连接
首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ControlLSA]
把RestrictAnonymous(DWORD)的键值改为:00000001。
3,禁止自动打开默认共享   
对于server版,找到如下主键[HKEY_LOCAL_MACHINESYSTEM_ CurrentControlSet_ ServicesLanman_ ServerPara
meters]把AutoShareServer(DWORD)的键值改为:00000000。
对于pro版,则是[HKEY_LOCAL_MACHINE SYSTEMCurrentControl SetServices LanmanServer Parameters]把Au
toShareWks(DWORD)的键值改为:00000000。
B、另一种是截闭ipc$和默认共享依赖的服务(不推荐)
net stop lanmanserver
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。
C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙,或者端口过滤。

二 : 58关闭取消永久删除Windows默认共享

在Windows 2000/XP系统中,隐藏着一种据说是可以“致命”的漏洞,它让很多人一听到就谈“虎”色变。在“我的电脑”上右击“管理”,依次选择“系统工具→共享文件夹→共享”,就会看到右边窗口中的默认共享。这些带有美元“$”标记的符号就是Windows系统默认共享,也就是Windows在安装完毕后自动共享的功能,很多人都听说是个漏洞。

★IPC$、ADMIN$、C$、D$都是什么?

IPC$(Internet Process Connection)可以被理解为一种“专用管道”,可以在连接双方建立一条安全的通道,实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(C$,D$,E$??)和系统目录(ADMIN$)共享。所有这些共享的目的,都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的隐患。

微软在不经意间造成的隐患,引起了很多关注,关于他们的种种说法也流传于网络间。看看下面几种流行的理论,你是不是也有同样的看法呢?观点一:默认共享本身就是漏洞,因此要避免安全隐患,必须删除所有的默认共享。观点二:默认共享就好像普通共享一样,任何人都可以随意使用ADMIN$,C$,D$等共享从你电脑里偷东西。观点三:IPC$是可以删除的,而且不会再次出现。观点四:要想删除默认共享,只要在Windows开机脚本中创建一个批处理文件就能实现。

答1:既然默认共享是漏洞,微软干嘛不补上?其实默认共享是一项非常有用的功能,只是我们平时用不到罢了。微软的初衷是便于网管进行远程管理。试想一下。在一个大型网络里。管理员有必要亲自跑到某台机上去看一些东西或是删除一些东西吗?这些管理员坐在主机前通过默认共享可以很轻松地办到。这是微软为了方便管理而提供的功能。不知从什么时候开始,它变成人家口中所说的漏洞了。

答2:如果你开放了所有的默认共享。人家就可以利用默认共享到你电脑里偷东西吗?答案是否定的。除非是你自己想放他进来。默认共享是管理员级别或是有相对应权限的账户的操作。你试试guest级用户能使用默认共享吗?不能!为什么说是你自己想放别人进来呢?你问问自己。你的管理员密码呢?要么直接为空。要么就是些123,1234之类的弱口令。用扫描工具短短时间内就能被猜解的。你已经打开了大门,人家有什么理由不进来呢?

就算是你密码为空或是弱口令,对方也不一定能用默认共享进入你的电脑进行管理员级别的操作。为什么?当共享方式为仅来宾方式时。任何连接的用户权限只能是guest级别的。guest能有多少权限?不信你可以做一次实验。向一台启用了仅来宾且开放默认共享的主机用net use命令进行连接。例如:net use \\ip\IPC$ "password" /user:"administrator"我可以肯定的告诉你:无论你的password填的是什么。都会提醒你"命令成功完成"。你实际上得到了管理员权限吗?答案是否定的。你得到的只是guest权限。很庆幸的是,Windows XP安装后的默认共享方式就是"仅来宾"的方式。

答3:Windows 2000下IPC$共享是可以删除的,然而在XP下就不行了。网上产生这种说法无非是没有亲身体会直接把Windows 2000下的理论搬到了XP吧。让我们看看微软是怎么说的:“服务器服务需要使用默认 IPC$ 系统管理共享。因此,您不可以删除此共享,我们建

议您不要删除由 Windows 为根分区和卷创建的(如 C$)和为系统根文件夹创建的 (ADMIN$) 系统管理共享。删除这些文件夹可能会给依赖这些共享的管理员和程序或服务带来问题。” 看到了吧,只要服务器服务"Server"正在运行当中,你就不可能删除IPC$。试图删除只会出现"拒绝访问"的错误提示。当你停止了Server服务后。IPC$会自动消失。

答4:创建脚本的确可以删除默认共享。但网上很多人都会提到通过组策略配置开机脚本。事实上。创建开机脚本并不能删除默认共享。如果不信大家可以去试一试。按网上的说法利用net share命令删除共享创建一个批处理脚本。然后加入到组策略当中“计算机配置→Windows 设置→脚本(启动/关闭)”去,重启后再用net share命令查看一下。你会发现:默认共享并没有被删除!这个脚本没有起作用。

总结:默认共享并不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。大家在看网上或书上的一些文章的时候。尽量经过自已亲自动手实践才能证明是否正确,有很多东西你传我我传你,传来传去就变了味。

建议:1.Windows的漏洞是一个接着一个。除了及时的补丁。安装杀毒软件和防火墙外。我们自己能做的就是给自己的管理员账号设置一个强有力的密码!特别要注意的是administrator内置管理员账号。很多人的系统这个账号没有被禁用且密码为空。我们虽然并不必要符合Windows要求的密码复杂性。但最好采用一些人家并不了解而你自己熟悉的数字加字母的密码。2.利用注册表关闭默认共享的方法:打开注册表。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下建立一个DWORD值,如果是工作站系统名为Autosharewks如果是SERVER的话改成Autoshareserver就OK啦!3.杀毒软件和防火墙是必要的。奉劝那些自认为自己高手而拿机器在网上"裸奔"的人。常在河边走,怎能不湿鞋? 不要过分相信自己的能力!

三 : windows默认共享的打开和关闭?

Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享,对于不必要的默认共享,一般都会把它取消掉,可当又需要打开此默认共享时,又该从哪里设置呢,一般来说有两个地方,MSDOS命令和计算机管理共享文件夹,下面主要从DOS命令来设置,因为比较简单,也可进行批处理。(www.61k.com]

一、因为Windows是默认打开默认共享的,还是先从删除默认共享开始吧:

首先从注册表里永久禁止打开默认共享:

如果要禁止C$、D$、E$一类的共享,可以单击“开始→运行”命令,在运行窗口键入“Regedit”后回车,打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ]分支,将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。
如果要禁止ADMIN$共享,可以在同样的分支下,将右侧窗口中的DOWRD值“AutoShareWKs” 设置为“0”即可。
如果要禁止IPC$共享,可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支,将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。

当不想改动注册表,或只是临时删除这些共享时,可以使用 net share 命令:

输入net share 命令时可以查看当前所有的共享

net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del

想每次开机后自动删除默认共享,只需把上面的命令保存为.bat文件,开机自动运行就可以了

二、打开默认共享:

先在控制面板的“服务”,看SERVER服务是否启动,如果没有启动,则将设置为自动或者手动,然后再选择启动。
开启系统的默认共享的方法
1.检查AutoShareServer和AutoShareWks注册表值是否为0。
2.找到注册表中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters。
3.将下面子项中的AutoShareServer和AutoShareWks DWORD值改为1。
4.重启。通常Win2003、Win2000\XP会在启动时自动创建。
5.启动后,可以通过运行CMD命令进入命令行模式,再运行net share,再共享列表中会看到Admin$、C$\IPC$等默认共享。
  注意:如果按以上方法仍无效。可能是病毒或恶意程序破坏了系统,这时因先杀毒和恢复系统。
  此外关闭Server服务、在网卡上去掉Microsoft客户端驱以及在网卡上去掉“文件和打印共享”等都会关闭默认共享。此时要将相应项恢复设置。


也可以在开始菜单的运行中输入CMD,然后输入以下的命令
net share c$=c:
net share d$=d:
net share ipc$
net share admin$

在计算机管理中的共享文件中也可以对所有的共享目录进行设置,右键“我的电脑”->“管理”->“共享文件”,由于是图形界面比较简单,这里就不在详细说明。

四 : 如何彻底关闭默认共享

如何彻底关闭默认共享

大家都知道电脑有共享的功能,可是大家知道不知道windows 有个默认共享,这个共享的权限是windows最大的共享权限了,当初微软设置这个权限的目的就是为了管理其他计算机方便,可是这就变成了黑客利用的后门。[www.61k.com] 不知道大家有没有玩过啊D注入工具,这个工具就就可以用打开你电脑的默认共享,通过3389等端口打开server服务,开启默认共享

先解释一下默认共享能干什么,他能删除你的磁盘卷标,你格式化你的硬盘,能在你的硬盘里新建文件夹,已经复制,剪切,等一系列的操作,大家也许会问如果真的自己有有没有被人家默认共享了呢?

首先一点,你家里就你一个人在上网,你也没有干任何事情发现网速变慢,电脑变卡,有可能黑客在你的电脑里复制东西了,其实这个检测方法不准确

最准确的检测方法是,右击我的电脑——管理——共享文件夹 共享,当你看到里面是空空的话证明你没有被黑客黑了如图。

如果你的电脑出现如下截图那就是被默认共享了(路径C: D: E: 等等磁盘被共享。)

关闭默认共享 如何彻底关闭默认共享

关闭默认共享 如何彻底关闭默认共享

如图

关于若干关闭默认共享我已经写过一篇文章了,这一次发的唯一不同的就是这次是傻瓜式的修改,不需要你手动修改注册表你只需新建一个文本文件,把如下的内容复制进去,然后另存为后缀名为bat的就可以了,之后双击它就可以了。[www.61k.com)

代码如下:

title 默认共享删除器

echo.

echo ---------------------------------------------------

echo.

echo 开始删除每个分区下的默认共享.

echo.

关闭默认共享 如何彻底关闭默认共享

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(

if exist %%a:nul (

net share %%a$ /delete>nul 2>nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在

)

)

net share admin$ /delete>nul 2>nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在

echo.

echo ---------------------------------------------------

echo.

net stop Server>nul 2>nul && echo Server服务已停止. net start Server>nul 2>nul && echo Server服务已启动. echo.

echo ---------------------------------------------------

echo.

echo 修改注册表以更改系统默认设置.

echo.

echo 正在创建注册表文件.

关闭默认共享 如何彻底关闭默认共享

echo Windows Registry Editor Version 5.00> c:delshare.reg

:: 通过注册表禁止Admin$共享,以防重启后再次加载 echo

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:delshare.reg

echo "AutoShareWks"=dword:00000000>> c:delshare.reg echo

c:delshare.reg

:: 删除IPC$共享,本功能需要administritor权限才能成功删除

echo

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]>> c:delshare.reg

echo

c:delshare.reg

echo 正在导入注册表文件以更改系统默认设置.

regedit /s c:delshare.reg

del c:delshare.reg && echo 临时文件已经删除. echo.

echo ------------------------------------------------------

echo. "restrictanonymous"=dword:00000001>> "AutoShareServer"=dword:00000000>>

关闭默认共享 如何彻底关闭默认共享

echo 程序已经成功删除所有的默认共享.

echo.

echo 按任意键退出...

pause>nul

这个批处理有点复杂了,其实有点画蛇添足了

下面提供一个比较简便的批处理

@echo off

echo Windows Registry Editor Version 5.00> c:lswj.reg echo

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:lswj.reg

echo "AutoShareWks"=dword:00000000>> c:lswj.reg echo "AutoShareServer"=dword:00000000>> c:lswj.reg regedit /s c:lswj.reg

del c:lswj.reg

这个修改方法和手动修改的效果一样还是要重启计算机的 恢复共享的批处理如下

@echo off

echo Windows Registry Editor Version 5.00> c:lswj.reg echo

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:lswj.reg

关闭默认共享 如何彻底关闭默认共享

echo "AutoShareWks"=dword:00000001>> c:lswj.reg echo "AutoShareServer"=dword:00000001>> c:lswj.reg regedit /s c:lswj.reg

del c:lswj.reg

该来该去还是那些道理我就不在赘述了

如果你喜欢自己钻研可以用手动修改注册表的方式 方法如下:

开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到

“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。[www.61k.com]如果没有AutoShareServer项,可自己新建一个再改键值。然后还是在这一窗口下再找到

“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到

“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。

注意:本法必须重启机器,但一经改动就会永远停止共享

61阅读提醒您本文地址:

关闭默认共享 如何彻底关闭默认共享

停止服务法:

还是到“计算机管理”窗口中,单击展开左侧的“服务和应用程序”并选中其中的“服务”,此时右侧就列出了所有服务项目。(www.61k.com)共享服务对应的名称是“Server”(在进程中的名称为services),找到后双击它,在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮,再确认一下就OK了(注:也可以在运行里直接打开服务控制面板方法在运行命令里输入services.msc就可以了)

卸载“文件和打印机共享”法

右击“网上邻居”选“属性”,在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”,从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后,单击下面的“卸载”按钮并确认一下。

注意:本方法最大的缺陷是当你在某个文件夹上右击时,弹出的快捷菜单中的“共享”一项消失了,因为对应的功能服务已经被卸载掉了!这个方法比较绝 呵呵呵!!!!

61阅读提醒您本文地址:

本文标题:关闭默认共享-关闭139与445端口删除默认共享
本文地址: http://www.61k.com/1070621.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1