8.3 有效防范远程入侵和远程监控

了解了黑客的常用远程入侵和监控手段后,就应当做好有效的防范措施,既可以采取有效的措施来防范Windows系统中潜存的IPC$漏洞,也可以通过关闭某些危险的服务来确保计算机的安全。

008Q 如何防范IPC$远程入侵?

A 防范IPC$远程入侵可以采用禁用共享和NetBIOS、设置本地安全策略以及修改注册表禁止共享三种方法。

防范IPC$远程入侵的常见方法有三种:禁用共享和NetBIOS;设置本地安全策略;修改注册表禁止共享。

禁用共享和NetBIOS

用户可通过net share命令查看本机上是否存在共享,如果存在则可能遭受IPC$漏洞的攻击,如果存在这样的情况则可以通过禁用共享和NetBIOS防范IPC$入侵。

STEP01:单击“属性”命令

1 右击桌面上的“网络”快捷图标,2 在弹出的快捷菜单中单击“属性”命令。

STEP02:单击“更改适配器设置”链接

打开“网络和共享中心”窗口,在左侧单击“更改适配器设置”链接。

STEP03:单击“属性”命令

打开“网络连接”窗口,1 右击“本地连接”图标,2 在弹出的快捷菜单中单击“属性”命令。

STEP04:不共享网络文件和打印机

弹出“本地连接属性”对话框,在“常规”选项卡中的列表框中取消勾选“Microsoft网络的文件和打印机共享”复选框。

STEP05:单击“属性”按钮

1 在“本地连接属性”对话框的“常规”选项卡中的列表框中选中“Internet协议版本4(TCP/IPv4)”选项,2 然后单击“属性”按钮。

STEP06:单击“高级”按钮

在弹出的“Internet协议版本4(TCP/IPv4)属性”对话框中单击“高级”按钮。

STEP07:禁用NetBIOS

弹出“高级TCP/IP设置”对话框,1 切换至WINS选项卡,2 单击选中“禁用TCP/IP上的NetBIOS”单选按钮即可。

设置本地安全策略

通过设置本地安全策略也可以达到防范IPC$的目的,只需启用“网络访问:不允许SAM账户和共享的匿名枚举”功能即可。

STEP01:单击“控制面板”命令

1 单击桌面左下角的“开始”按钮,2 在弹出的“开始”菜单中单击“控制面板”命令。

STEP02:单击“管理工具”链接

打开“控制面板”窗口,设置查看方式为“大图标”,单击“管理工具”链接。

STEP03:双击“本地安全策略”选项

打开“本地安全策略”窗口,双击“本地安全策略”选项。

STEP04:设置安全选项

1 在“本地安全设置”窗口的左侧依次单击展开“安全设置>本地策略>安全选项”分支,2 然后在右边窗格中双击“网络访问:不允许SAM账户和共享的匿名枚举”选项。

STEP05:单击选中“已启用”单选按钮

在弹出的“网络访问:不允许SAM账户和共享的匿名枚举属性”对话框的“本地安全设置”选项卡中,单击选中“已启用”单选按钮。

STEP06:单击“是”按钮

单击“确定”按钮弹出一个确认设置更改的对话框,单击“是”按钮确认即可。

修改注册表禁止共享

注册表中与IPC$共享有关的键值项有restrictanonymous和AutoShareServer(AutoShareWks),用户可以通过调整这些键值项的值来防范IPC$远程入侵。

STEP01:输入regedit命令

打开“运行”对话框,1 在“打开”文本框中输入regedit命令,2 然后单击“确定”按钮。

STEP02:双击restrictanonymous键值

1 在“注册表编辑器”左窗格中依次单击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa分支,2 然后在右边窗格中双击restrictanontymous键值项。

STEP03:设置restrictanonymous键值

弹出“编辑DWORD(32位)值”对话框,1 在“数值数据”文本框中输入“1”,2 单击“确定”按钮。

STEP04:双击AutoShareServer选项

1 在“注册表编辑器”左边窗格中单击HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo ntrolSet\Services\LanmanServer\Parameters分支,2 若是服务器则双击AutoShareServer键值项。

STEP05:设置数值数据

弹出“编辑DWORD(32位)值”对话框,1 在“数值数据”文本框中输入“0”,2 单击“确定”按钮。

STEP06:设置AutoShareWks键值项

如果是客户机则双击打开AutoShareWks键值项,1 将“编辑DWORD(32位)值”对话框的“数值数据”的文本框中的数值修改为0,2 单击“确定”按钮保存退出。