win2000删除預設共享

1 删除IPC$共享

Windows 2000的預設安裝很容易被攻擊者取得賬号清單，即使安裝了最新的Service pack也是如此。在Windows 2000中有一個預設共享IPC$，并且還有諸如admin$ C$ D$等等，而IPC$允許匿名使用者（即未經登入的使用者）通路，利用這個預設共享可以取得使用者清單。要想防範這些，可将在“管理工具→本地安全政策→安全設 置→本地政策→安全選項”中的“對匿名連接配接的額外限制”修改為“不允許枚舉SAM賬号和共享”。就可以防止大部分此類連接配接，但是還沒完，如果使 NetHacker隻要使用一個存在的賬号就又可以順利地取得所有的賬号名稱。是以，我們還需要另一種方法做後盾：

建立一個檔案Startup.cmd，内容就是一行指令“net share ipc$ delete” 不包括引号 ；

在Windows的計劃任務中增加一項任務，執行以上的startup.cmd，時間安排為“計算機啟動時執行”，或者把這個檔案放到“開始→程式→啟動”中讓它一啟動就删除IPC$共享；

重新啟動伺服器。

（2）删除admin$共享

修改系統資料庫HKEY_LOCAL_MACHIN

E\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子鍵（REG_DWORD），鍵值為0。

（3）清除預設磁盤共享 C$、D$等

修改系統資料庫HKEY_LOCAL_MACHI

NE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，增加AutoShareServer子鍵（REG_DWORD），鍵值為0。

妥善管理系統使它更安全

系統不安全，不要老埋怨軟體的本身，多想想人為的因素吧！下面從管理者的角度來談談在管理過程中需要注意的幾點：

1、關注最新漏洞，及時打上更新檔和安裝防火牆

管理者的職責是維護系統的安全，吸收最新的漏洞資訊，及時打上相應的更新檔，這是維護系統安全最簡單也是最有效的方法。我給大家推薦國外的一個很好的安全站點：[url]http://www.eeye.com[/url] 。同時，安裝最新版的防火牆也是必須的，可以助你一臂之力。但是要記住：“道高一尺，魔高一丈”，沒有絕對的安全，更新檔永遠都是跟在漏洞公布之後，完全相信系統更新檔和防火牆是不可行的！

2、禁止建立空連接配接，拒人于門外

黑客們經常采用共享進行攻擊，其實不是它的漏洞，隻怪管理者的賬戶和密碼太簡單，留着不放心，還是禁止掉的好！

這主要是通過修改系統資料庫來實作，主鍵及鍵值如下：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

RestrictAnonymous = DWORD:00000001

3、禁止管理共享

除了上面的，還有這個呢！一起禁止吧！

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

AutoShareServer = DWORD:00000000

4、精巧設計密碼，慎防入侵

呵呵，看了上面的第2點和第3點，有經驗的朋友自然會常想到這一點了。不錯，這是老生常談的事情了，很多伺服器被攻陷都是由于管理者密碼過于簡單而造成的。

對于密碼的設定，我建議：①長度超過8位為宜。②大小寫字母、數字、特殊符号的複雜組合，如：G1$2aLe^ ，避免“純單詞”或者“單詞加數字”型的密碼，如：gale、gale123等。

特别注意：MSSQL 7.0 中的SA密碼千萬不能為空！預設情況下“SA”密碼是空的，而它的權限是“admin”，想想後果吧。

5、限制管理者組的使用者數量

嚴格限制管理者組的使用者，時時刻刻保證隻有一個Administrator（也就是你自己）是該組的使用者。至少每天檢查一次該組的使用者，發現多增加的用 戶一律删除！毫無疑問，那新增的使用者一定是入侵者留下的後門！同時要注意Guest使用者，聰明的入侵者一般不會添加陌生使用者名，這樣容易被管理者發現行 蹤，他們通常是先激活Guest使用者，然後是更改它的密碼，再放到管理者組，但Guest無端跑到管理者組來幹嘛？停掉！

6、停止不必要的服務

服務開的太多也不是個好事，将沒有必要的服務通通關掉吧！特别是連管理者都不知道是幹什麼的服務，還開着幹什麼！關掉！免得給系統帶來災難。

另外，管理者如果不外出，不需要遠端管理你的計算機的話，最好将一切的遠端網絡登入功能都關掉。注意，除非特别需要，否則禁用“Task Scheduler”、“RunAs Service”服務！

關閉一項服務的方法很簡單，運作cmd.exe之後，直接 net stop servername 即可。

7、管理者安分守己，不用公司的伺服器做私人用途

Windows 2000 Server 除了可以像伺服器之外，同時還可以做個人使用者的計算機一樣，上網浏覽網頁、收發E-mail等等。作為管理者，應該盡量少用伺服器的浏覽器來浏覽網頁，避 免因浏覽器的漏洞造成木馬感染和公司的隐私資訊暴露。微軟IE漏洞多多，相信大家不會不知道吧？另外，也少在伺服器上使用Outlook等工具來收發E- mail，避免染上病毒，給企業帶來損失。

8、注意本地安全

防止遠端入侵很重要，但系統的本地安全也不容忽視，入侵者不一定在遠處，有可能就在身邊！

（1）及時打上最新版的更新檔，防止輸入法漏洞，這是不用再說的了。輸入法漏洞不僅是導緻本地入侵，如果開了終端服務的話，系統之門就會大開，一個裝了終端用戶端的機器就可以輕易闖進來！

（2）不顯示上次登入的使用者

如果你的機器是不得不多人共用的話（其實，真正的一台伺服器是不應該這樣的），那禁止顯示上次登入的使用者很重要，免得别人猜中密碼。設定方法是：在［開 始］→［程式］→［管理工具］→［本地安全政策］，打開“本地政策”的“安全選項”，在右邊輕按兩下“登入螢幕上不要顯示上次登入的使用者名”，選中“已啟 用”，再點選［确定］，這樣，下次登入的時候就不會在使用者名框上顯示上次登入過的使用者名了。

WIN2K預設共享

目 前很多網站的伺服器采用的作業系統為Windows 2000，發現系統啟動運作時，會自動将本地硬碟盤符如c$,d$以及WINNT$設定為預設共享，用NET SHARE 指令檢視除了發現上述預設共享目錄還可以看到其它兩個隐藏共享目錄為admin$，ipc$，再用\\本機ip位址試一下，系統會彈出關于ipc$對話 框，讓你輸入密碼，如果對方能夠猜出密碼的話或者非法得到Sam檔案，由第三方軟體破解獲得管理者密碼，這樣對方通過IPC$以管理者的身份不僅僅可以對 Windows 2000預設共享如:c$,d$,admin$進行操作，而且可以任意控制計算機的系統資料庫、服務、計算機管理、計劃任務等等……，後果将不堪設想。

方法一：

修改系統資料庫，具體步驟如下：

1、删除2000啟動時沒有預設共享c$,d$，WINNT$

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] 下建立一個dword類型資料

2000 server 是 autoshareserver=0; 2000 professional 是 autosharewks=0

2、删除ipc$，admin$的共享

在系統資料庫的自動運作選項裡建立一個項目,可以任意改名,然後修改鍵值為 net share ipc$ /del

或是多建立幾個運作項目,分别在每個項目裡修改為 net share admin$ /del

附：系統在啟動時删除ipc$，admin$共享目錄，在WINXP，WINNT也一樣建立就行了。

3、禁止管理者從網絡登陸

使用NT resouce kit中的工具passprop,執行如下指令：

passprop /adminlockout /complex

方法二：

使 用 Windows 2000 的管理工具poledit.exe（系統政策配置器），選擇 打開系統資料庫->本地計算機->Windows NT網絡->共享->将其中的兩個選項取消。 其實這種方法還是修改系統資料庫，實際清除過程可以通過建立批處理檔案delshare.bat來實作，過程如下：

echo 修改系統資料庫項，修改系統預設共享屬性

echo.

echo 生成 delshare.reg 準備修改系統資料庫

echo Windows Registry Editor Version 5.00> c:\delshare.reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>

c:\delshare.reg

echo“AutoShareWks”=dword:00000000>> c:\delshare.reg

echo “AutoShareServer”=dword:00000000>> c:\delshare.reg

echo 運作 delshare.reg 修改系統資料庫

regedit /s c:\delshare.reg

echo 删除 delshare.reg 臨時檔案

del c:\delshare.reg

如果在英文 Windows 2000 下使用的 delshare.bat ，清除方法和中文版的相同，隻要更改運作的語言環境就可以了。用上述方法設定系統後，在Windows 2000啟動運作後，系統預設共享目錄将不複存在