为了便于局域网信息的传输和交流,不少人将自己的文件夹都设置为了共享,而作为服务器的Windows 2000或Windows 2003系统,更是将本地硬盘都默认地设置为了隐藏共享。不可否认的是,资源共享确实给我们带来了不小的便利,可除了便利之外,我们也时时刻刻遭受到因共享而引起的潜在安全威胁;毕竟,黑客借助各种共享扫描工具,很轻易地就能通过共享渠道对工作站或局域网进行破坏性攻击。这么说来,难道是要我们放弃资源共享吗?当然不是,只要我们在细心地做好各项安全防护的前提下,资源共享完全可以照常进行!下面,本文就对共享安全如何防范进行具体介绍,希望能对各位有用。
选准系统,增强免疫
也许你会说,选用什么操作系统与共享安全有什么关联呢?其实操作系统的不同,直接决定了计算机在共享安全方面的“免疫”能力的强弱。这不,Windows 98操作系统自身存在不少共享漏洞,这给恶意攻击者提供了不少“入侵”通道。因此如果你的计算机中安装了Windows 98操作系统的话,遭受共享安全威胁的可能性就会比其他操作系统大得多;考虑到该操作系统先天性的不足,Microsoft公司已开始放弃对它的更新升级了,所以你的计算机最好也不要再安装Windows 98系统了。当然,倘若你对Windows 98有一种执着“偏好”的话,还是可以采取适当的措施,弥补它的共享漏洞的,比方说可以到Microsoft官方网站中,及时下载并安装最新安全补丁,以便将大多数共享漏洞修补好。
和Windows 98系统或Windows Me系统相比,Windows 2000系统或Windows XP系统在共享安全方面的“免疫”能力还是不错的;当然,它们也并不是无懈可击的,为了确保它们的“免疫”能力足够强大,你最好也应该定期到 Microsoft网站中去下载并升级相应补丁程序包,例如Windows 2000系统打上了Windows 2000 Service Pack4补丁包后,它的安全防范性能就会更甚一筹,而Windows XP系统如果打上了SP2补丁程序包的话,共享漏洞也会被“堵住”不少。
共享密码,时刻启用
尽管非法攻击者能够利用比较专业的破解工具,来轻易获得共享资源的访问密码;不过笔者以为,防范普通用户随意访问共享资源的最有效、最直接的方法,仍然是设置共享密码,一旦为共享资源添加上了访问密码后,那么不借助其他工具,任何人也是无法“偷窥”到共享隐私的。由于设置共享密码的操作已经在很多媒体中都有详细介绍,本文在这里就不赘述了。当然,我们在设置共享密码时,一定要确保密码设置得足够长,而且要比较复杂。
藏好共享,护好隐私
有时为了方便局域网中的数据交流,我们都需要先将文件夹设置为共享;不过,由于局域网中的所有工作站,都可以通过网上邻居,访问到该共享文件夹,这样一来,一些重要的共享信息,就可能被其他不相关的人所“偷窥”到。为此,我们很有必要,将重要的共享文件夹巧妙地隐藏起来,以便让毫不相干的人,无法“偷窥”到。下面就是几种不同的隐藏方法:
1、命令隐藏法
该方法是利用“net”命令,直接将服务器或工作站中的共享文件夹,隐藏起来。例如,要隐藏服务器中的共享文件件时,你可以打开系统的运行对话框,然后输入字符串命令“net config server /hidden:yes”,单击回车键后,服务器中所有的共享文件夹,就会全部被隐藏起来
2、“$”隐藏法
这种方法比较简单,它适合于隐藏某个共享文件夹。例如,要将共享文件夹“aaa”隐藏起来时,只需要打开资源管理器窗口,找到共享文件夹“aaa”,并用鼠标右键单击之,执行快捷菜单中的“共享”命令,然后在弹出的共享设置窗口中,在共享名称后面直接添加一个“$”,比方说“aaa$”,以后打开网上邻居窗口时,你就不会找到“aaa”共享文件夹了。
3、注册表修改法
这种方法,需要对注册表熟悉才可以,而且在修改注册表之前,为安全起见,最好将注册表先备份一下;当然,通过修改注册表,能够将计算机中的所有共享文件夹都自动隐藏起来。
打开系统运行对话框,执行“Regedit”命令,弹出注册表编辑界面,依次展开其中的分支“HKEY_LOCAL_MACHINE”、 “SYSTEM”、“CurrentControlSet”、“Service”、“lanmanserver”、“parameters”;
在对应“parameters”右边的子窗口中,选中“hidden”键值(如图1所示),并用鼠标双击之,在弹出的数值编辑界面中,输入“1”,最后单击“确定”按钮,就能使设置生效了。
图1
共享补丁,及时打上
即使你选用了最新版本的操作系统,仍然会存在或多或少的共享漏洞,而要想有针对性地将共享漏洞“堵住”,唯一有效的办法就是定期到微软官方网站中,查看是否有最新的共享漏洞补丁可以下载,要是发现的话就必须将它下载并及时打上。例如,在Windows 98系统中,如果将C盘设置为共享的话,黑客可以在远程执行“\\被攻击主机名称\C\CON\CON”命令,就能很轻易地导致计算机发生蓝屏现象;而要避免该现象,就必须到Http: //download.microsoft.com/download/win98se/update/6467/w98/en-us/256015usa8.exe 下载这方面的漏洞补丁,然后及时打上就可以了;再比如,通过共享通道黑客可以很方便地将木马程序“植入”到被攻击计算机中,要阻止黑客“植入”木马程序的话,就可以到http://download.microsoft.com/download/win98se/update/11958/w98/en -us/273991usa5.exe处,下载并打上这个漏洞的安全补丁。
此外,在下载漏洞补丁时,一定要到最权威的官方网站中下载,最好到微软中国网站中下载,其他网站中的各种补丁包请不要轻易相信,说不定来路不明的补丁包自身就是一个“定时炸弹”。
资源共享,及时撤消
由于一旦建立了资源共享,你的计算机和其他主机之间,就会存在一条共享通道,利用这条通道,黑客就可能对你的计算机发起攻击;要想有效切断共享通道,最好能将资源共享状态取消掉。当然,这并不是说不要建立资源共享,而是建议各位在使用完共享资源后,应该养成一种习惯,及时将重要资源的共享状态取消,如此一来黑客就没有通道进入到你的系统了。
当然了,在万不得已需要设置资源共享时,千万不要将整个磁盘分区都设置为共享,而应该将资源共享的范围限制在一个文件夹中,最好是将空文件夹设置为共享状态,然后仅把需要与他人交流的内容放入到其中,最后不要忘了将共享文件夹设置为只读状态;如此一来,黑客即使能够入侵到你的系统,其破坏力也是非常有限的。
默认共享,自动删除
由于Windows 2000以上版本的操作系统,在缺省状态下都会自动将C盘、D盘等设置为共享,这无形之中会给黑客提供入侵“通道”;如果我们手工将C盘、D盘的默认共享状态取消的话,重新启动系统之后,这些默认共享又会自动建立起来。为了确保系统每次启动后,都能自动删除默认共享,我们可以按如下方法来实现:
首先打开记事本程序,并在编辑界面中输入下面的命令代码:
@echo off
net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del
然后,将上面的代码文件保存成扩展名为“bat”的批处理文件,假设这里将批处理文件命名为“autodel.bat”。
下面再依次单击“开始”/“运行”命令,在弹出的运行对话框中执行“gpedit.msc”命令,打开组策略编辑界面,接着依次展开“用户配置”、 “Windows设置”、“脚本(登录/注销)”文件夹;再用鼠标双击对应“脚本”文件夹中的“登录”选项,在其后弹出的设置界面中,单击“添加”按钮,将刚刚生成的“delete.bat”批处理文件导入进来(如图2所示),最后单击一下“确定”按钮,结束上面的设置后,再将计算机系统重新启动一下,我们就会发现默认共享都被自动删除了。
图2
139端口、445端口让人既爱又恨,有了这些端口我们就能轻松获取局域网中的各种共享资源,例如共享打印机、共享文件夹,但正是由于这些端口的开放,才导致黑客能轻松扫描到系统中的共享资源。如果我们在不需要访问共享资源的情况下,将这些端口统统屏蔽掉的话,黑客就无法对系统进行共享攻击了。目前,过滤共享端口的方法有很多,主要表现为:
1、TCP/IP筛选法
首先打开系统的“网络和拨号连接”窗口,右击其中的“Internet连接”图标,执行快捷菜单中的“属性”命令,在随后弹出的设置窗口中选中 “Internet协议(TCP/IP)”选项,并单击“属性”按钮,再在TCP/IP属性设置窗口中单击“高级”按钮,接着进入到“选项”标签页面,再打开“TCP/IP筛选”属性设置窗口;
选中该窗口中的“启用TCP/IP筛选”选项(如图3所示),接着在“TCP端口”设置项处,选中“只允许”选项,再单击“添加”按钮,将计算机系统常用的几个端口号码分别添加到列表中,而将139、445等有潜在威胁的端口排除在外。
图3
2、修改注册表法
如果我们能够将文件夹和打印机共享服务暂时屏蔽掉,就能阻止系统打开445端口了;要禁止文件夹和打印机共享服务的话,可以通过对注册表进行设置的方法来实现:
打开注册表编辑窗口,将鼠标定位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NetBT\Parameters分支,在对应“Parameters”分支的右侧子窗口中,右击空白区域,然后执行快捷菜单中的“新建”/“双字节值” 命令,并将它的名称设置为“SMBDeviceEnabled”,如图4所示;
图4
接着再将“SMBDeviceEnabled”的数值修改为“0”,最后将计算机再重新启动一下,就能阻止系统打开445端口了。
3、防火墙过滤法
只要我们对防火墙的过滤规则进行个性化定制,让其自动拦截从139、445端口进入的数据包,就能有效阻止黑客对系统进行共享攻击了。
例如,在用KV3000防火墙过滤来自445端口的数据包时,可以单击防火墙主界面中的“规则设置”按钮,再执行“增加规则”命令,在弹出的图5设置窗口中,先输入合适的规则名称,例如这里的名称为“关闭445端口”,然后在“网络条件”处,将“接受数据包”选中;
图5
接着将“对方IP地址”选为“任何地址”,同时选中“指定本地IP地址”,然后将本地计算机的IP地址正确输入。接下来进入到“TCP”标签页面,并将“本地端口”选为“指定端口”,同时输入“445”号码;然后将“对方端口”选为“任一端口”。
下面,将“规则对象”处的“系统访问网络时”选中,同时将“当所有条件满足时”设置为“拦截”,最后单击“确定”,完成端口过滤规则的定义。
最后再在防火墙主界面中,将前面定义的“关闭445端口”规则选中,这样的话,防火墙日后就能自动拦截来自445端口的数据包了。按照同样的方法,我们可以自行定义“关闭139端口”的过滤规则。
共享绑定,尽量取消
如果我们在系统的网络连接属性中,及时取消共享绑定的话,也可以暂时禁止使用Windows的共享功能,这样黑客也就无法进行共享攻击了。要取消共享绑定时,可以先打开网络连接属性窗口(如图6所示);接着将其中的“Microsoft网络的文件和打印机共享”选项取消,然后再将计算机系统重新启动一下,这样计算机系统的共享通道就会被切断了,以后攻击者们就无法对本地系统进行共享攻击了。
图6
使用代理,隐藏地址
不少黑客在向系统发起攻击时,都是先通过搜索IP地址找到攻击目标,然后通过共享通道对系统进行攻击的,因此只要我们能有效地将本地主机的IP地址隐藏起来,就能降低主机被攻击的危险。目前,在QQ上进行聊天时,最容易泄露IP地址,所以我们在聊天之前,最好先打开QQ的系统参数设置窗口,进入到“网络设置”界面中(如图7所示),然后启用QQ代理服务器来进行聊天(QQ代理服务器地址和端口可以在网上找到),这样就能将本地主机的IP地址隐藏起来了。
图7
同样地,在使用IE进行网上冲浪时,也必须先打开“Internet选项”设置窗口,然后在“连接”标签页面中,启用http代理服务器,来隐藏本地主机的真实IP地址。
帐号列表,拒绝访问
由于Windows 2000或Windows XP系统在缺省状态下,会允许每一位未授权用户以连接空用户方式,访问系统中的帐号列表信息和资源共享列表信息,为了防止黑客通过共享资源列表和帐号列表对系统发起攻击,我们应该想办法禁止任何未授权用户直接连接空用户。要做到这一点,可以按如下方法来实现:
依次单击“开始”/“运行”命令,在弹出的运行对话框中输入注册表编辑命令“Regedit”,按回车键后,系统就会将注册表编辑窗口打开;
用鼠标依次单击编辑界面中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支,然后选中“LSA”主键并在它的右边子窗口中,双击“RestrictAnonymous”选项(如图8所示),在打开的数值设置窗口中,直接输入数值 “1”,最后单击“确定”按钮,并重新启动一下系统就能拒绝未授权用户去访问帐号列表了。
图8
远程服务,尽量屏蔽
考虑到Windows 2000或Windows XP系统在缺省状态下,会自动启用一些远程服务,而有的远程服务我们平时可能用得很少;如果不及时将这些服务屏蔽掉的话,黑客就可能利用这些服务来远程攻击计算机系统。为此,在不需要使用远程服务时,我们最好能按照如下操作步骤将其及时停止掉:
在系统的“开始”菜单中,依次单击“设置”、“控制面板”、“管理工具”命令,然后双击其中的“服务”图标,在随后打开的服务列表中,选中不需要的远程服务项目,例如Task Schedule服务、Remote Registry Service服务、Telnet服务等;
接着双击选中的服务选项,在弹出的图9所示的服务设置界面中,将“启动类型”设置为“已禁用”,最后单击“确定”按钮,就能使设置生效了。
图9
enet硅谷动力
本文地址:http://com.8s8s.com/it/it24088.htm