用过Windows 2000的人都知道,Windows 2000的默认安装允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。一些别有用心者会利用这项功能,查找我们的用户列表,并使用一些字典工具,对我们的主机进行攻击。另外,在安装系统时创建一些隐藏的共享,通过“计算机名或IP地址\盘符$”就可以访问。作为系统管理员的我,平时也喜欢利用这些共享来进行远程管理计算机和查看计算机的共享资源时,没想到却给黑客留了通道。
黑客攻击
图1 “流光”主界面
一些别有用心者曾经利用黑客工具软件对我所管理的服务器进行IPC$漏洞探测,其中以“流光”软件最为出名,其运行主界面如图1所示,按[Ctrl+R]键弹出扫描框(如图2)。在扫描范围栏里输入你要扫描的IP地址范围,在扫描主机类型里选择Windows NT/98,确定后进行扫描,这样,一些在线的Windows NT/98机器就会被扫描出来。
图2 扫描对话框
鼠标右击界面上“IPC$主机”,选择“探测”下面的“探测所有IPC$用户列表”命令,就会探测出给出IP地址范围的机器里的IPC$用户列表,关键是这里也可以扫描出这些用户列表中没有密码或是简单密码的用户(如图3)。当然,得到用户列表后也可以选用专门的黑客字典试探出密码来,谁能保证,服务器里每个用户的密码都很强壮呢?所以这些人总有得逞的时候。
图3 扫描结果
有了用户名和密码,在IE浏览器的地址栏输入“\\IP地址”,就会弹出一个对话框要求输入用户名和密码,将得到的用户名和密码输入之后就可轻松进入目标机器,不过这里看到的仅是目标机器主动共享出来的文件夹。如果在地址栏输入“\\IP地址\C$(或是D$,E$等)”,则可以看到目标机器C盘(或是D$,E$等)的全部内容。
防范IPC$漏洞攻击
知道黑客利用此漏洞入侵后,我惊出了一身冷汗,赶紧把密码设置得复杂一些,但是无论我采用多复杂的密码,过一段时间还是发现有被入侵的迹象。看来万事都不能两全,计算机管理也一样,要方便就不安全,要安全就不方便,所以我只好采用下面的方法把IPC$漏洞堵住,这样自己也就没办法享受默认共享带来的方便了。
1. 通过修改注册表来禁止建立空连接(IPC$)
点击[开始]→[运行],在运行框里输入“Regedit”回车后打开注册表,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设置为“1”,就可以禁止空用户连接。
2. 通过修改注册表来禁止管理共享 C$D$等
打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\LanmanServer\Parameters项
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
对于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
3. 批处理删除共享
更简单的方法就是到http://www.heibai.net/download/show.php?id=2194下载Delshare.zip。该压缩包里包含两个自动永久删除 Windows 2000所有默认共享的两个批处理文件(一个中文版,一个英文版),也就是采用批处理方式一一删除所有共享,解压后执行其中一个即可达到目的。