徹底杜絕IPC$攻擊
Windows 2000系統(tǒng)默認(rèn)允許用戶通過IPC$連接獲得系統(tǒng)內(nèi)所有賬號(hào)和共享資源列表����,它雖然為局域網(wǎng)用戶共享資源提供方便�,但也可能被任何一個(gè)“心懷叵測”的人所利用�,給Windows 2000系統(tǒng)帶來嚴(yán)重安全隱患。即使通過修改“賬戶策略”增強(qiáng)系統(tǒng)安全����,也是種“治標(biāo)不治本”方法,還是不能杜絕IPC$入侵�����。
1. 禁止IPC$空連接
在Windows 2000服務(wù)器端�,點(diǎn)擊“開始→運(yùn)行”,在運(yùn)行對(duì)話框中輸入“Regedit”命令�,回車后,彈出注冊表編輯器窗口���,依次展開“HKEY_LOCAL_MACHINE/SYSTEM
/CurrentControlSet/Control/Lsa”,在右欄中找到“restrictanonymous” 項(xiàng)����,將其鍵值修改為“1”�,重新啟動(dòng)系統(tǒng)后就禁止IPC$空連接了�����。
2. 禁用默認(rèn)隱藏共享
Windows 2000系統(tǒng)默認(rèn)情況下�����,磁盤所有盤符的狀態(tài)都為隱藏共享���,即使取消共享�����,下次重啟后所有盤符依然自動(dòng)共享��。這種共享給Windows 2000系統(tǒng)帶來安全隱患��,因此要禁用默認(rèn)隱藏共享����。
在注冊表編輯器左欄中���,依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/
Services/LanmanServer/Parameters”��,在右欄中找到“AutoShareServer(DWORD)”鍵����,將其鍵值改為“00000000”。
如果上面AutoShareServer鍵不存在���,我們可以進(jìn)行手工創(chuàng)建����,在右欄空白處單擊右鍵��,選擇“新建→雙字節(jié)值”�����,然后修改主鍵名稱為“AutoShareServer”�,其鍵值為“00000000”。最后重新啟動(dòng)Windows 2000系統(tǒng)��,就取消了默認(rèn)隱藏共享�。
慎用Guest賬號(hào)
在Windows工作組環(huán)境中,一般情況下����,用戶要使用Guest賬號(hào)訪問共享資源。雖然Guest賬號(hào)為用戶訪問共享資源提供方便��,但卻給服務(wù)器留下嚴(yán)重安全隱患���,因此建議禁用Guest賬號(hào)����。
在Windows 2000系統(tǒng)中��,進(jìn)入“控制面板→管理工具”����,運(yùn)行“計(jì)算機(jī)管理”工具,然后依次展開“計(jì)算機(jī)管理(本地)→系統(tǒng)工具→本地用戶和組→用戶”����,找到Guest賬戶。右鍵單擊該賬號(hào)�����,在Guest屬性對(duì)話框中����,選中“賬戶已停用”選項(xiàng)��,單擊“確定”后�����,就禁用了Guest賬戶�����,這時(shí)該賬號(hào)出現(xiàn)一個(gè)紅色的叉號(hào)�����。
此外����,還可以通過修改組策略不允許Guest賬號(hào)從網(wǎng)絡(luò)訪問本機(jī)���,達(dá)到禁用的目的����。單擊“開始→運(yùn)行”����,在運(yùn)行框中輸入“gpedit.msc”��,在組策略窗口中依次展開“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)力指派”(如圖),在右欄中找到“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”項(xiàng)��,打開后將Guest賬號(hào)添加到列表中��,接著打開“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”項(xiàng)�,在屬性窗口中刪除Guest賬號(hào)。
禁用了Guest賬號(hào)后�,用戶如何訪問共享資源呢?對(duì)于規(guī)模較大的網(wǎng)絡(luò)�����,使用域用戶賬號(hào)來控制對(duì)共享資源的訪問���。小規(guī)模的網(wǎng)絡(luò)中�,可以采用如下方法實(shí)現(xiàn):在服務(wù)器端新建一個(gè)用戶賬號(hào)����,并指定該賬號(hào)的訪問權(quán)限。然后在客戶機(jī)中新建一個(gè)相同用戶名和密碼的賬號(hào)��,使用此賬號(hào)登錄客戶機(jī)后,就能安全訪問該賬號(hào)所允許的共享資源�,但這種方法要為網(wǎng)絡(luò)中的每個(gè)客戶機(jī)都要?jiǎng)?chuàng)建一個(gè)賬號(hào)。如果大家感覺麻煩��,也可以使用第三方文件共享軟件���。
我的“FSO”你別動(dòng)
為了實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)化辦公����,需要啟用Windows 2000系統(tǒng)的IIS服務(wù)�����,它對(duì)ASP有良好的支持��,因此很多企業(yè)網(wǎng)的辦公系統(tǒng)�����、論壇�����、留言板都采用ASP編程。但ASP中的FSO(FileSystemObject)對(duì)象卻有很大的安全隱患����,一旦被“不懷好意”者利用,會(huì)導(dǎo)致整個(gè)系統(tǒng)的癱瘓���,最簡單的方法就是禁用它�。單擊“開始→運(yùn)行”����,在對(duì)話框中輸入“RegSvr32 /u scrrun.dll”命令�����,回車后彈出信息對(duì)話框�,點(diǎn)擊“確定”按鈕后就禁用了FSO對(duì)象。如果想再次使用FSO對(duì)象也很簡單�����,在運(yùn)行對(duì)話框中輸入“RegSvr32 scrrun.dll”即可��。
