前两日,笔者访问了国内著名安全网站“安全焦点”。很巧,最新安全文献栏目又有更新,有一篇名叫《一份详尽的IPC$入侵资料》的文章。看完全文,从技术角度上讲没什么新东西,都是搞安全的朋友们再熟悉不过的了。难道是焦点管理人员失误,怎么把这样老的东西也放到首页了呢?
无聊中,打开Shed软件随便扫了一个IP段61.178..,50多个有响应的IP中,居然有16个默认共享没关。用Shed自带的很简单的破解功能,能无阻碍访问共享内容的居然有7台之多,让笔者大跌眼镜,也又一次认识到了国内普通用户的安全常识问题。
这里讲几个概念,让朋友们有个大概认识。
概念1:默认共享
一般说来,默认安装系统后,系统会把你所有逻辑分区、IPC、Admin都设置成共享。这样便大大增加了潜在安全问题。
概念2:IPC共享
看看各大安全站点上的文章就可以知道:IPCInternet Process Connection是共享“命名管道”的资源(也有人叫“网际进程连接”),它是为了进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
概念3:关于自启动
大家可能已经发现了,很多软件都有随着系统启动而启动的特性,如:杀毒软件、服务器软件(阿帕奇、MS-SQL等),我们就叫它开机自启动。
在Windows 2000系统中,能设置开机自启动的方法大致有十来种,而最常见也最简单的大致是这么三种:启动组(Documentsand Settings\user\「开始」菜单\程序\启动,这里的user是用户的代称);注册表(例如Software\Microsoft\Windows\CurrentVersion\Run);Autoexec.bat文件(在系统盘的根目录下)。
为什么要介绍这三个概念?
其实很简单,理解这三个概念,大家就可以理解一种很常见的黑客攻击手法:利用默认共享入侵。试想一下,有人通过默认共享,在你有启动权限的位置放置后门程序,然后促使或者等待你重启计算机会有什么结果?通过默认的IPC对计算机进行空连接,然后放置后门程序,再使用at命令促使后门程序启动又会怎么样?这方面的例子实在是太多了……
也许大家和一年多前的我一样,养成了一上网就手动关闭默认共享的习惯。其实呢,完全有更好的办法。NET命令组里有个命令参数叫“net share”就是控制共享的。可以通过类似“net share c$ /del”这样的命令删除默认共享,进而通过Autoexec.bat文件把一组这样的命令加入,利用这个批处理文件具备自启动的特性就达到一劳永逸的目的了。
更好地解决类似问题则在于注册表!
可以通过直接修改注册表:HKLM\SYSTEM\CurrentControlSet\Control\Lsa下的RestrictAnonymous键实现,其类型是REG_DWORD,当把该值设为1时,匿名用户无法列举主机用户列表;而把该值设为2时,匿名用户无法连接你的IPC$共享。
修改注册表 HKLM\SYSTEM\Current
ControlSet\Services\lanmanserver\parameters下的 AutoShareServer键,其值为0,类型为 DWORD,这样将删除默认共享。
文章写到这里算是完了,说句题外话,安焦首页有那个IPC的帖子确实很应该,我国Windows 2000用户安全意识确实有待提高。(甘肃 张旭)