关闭默认共享 禁止ipc$空连接(整理)

入侵中可能会用到的命令为了这份教程的完整性，我列出了ipc$入侵中的一些常用命令，如果你已经掌握了这些命令，你可以跳过这一部分看下面的内容。

请注意这些命令是适用于本地还是远程，如果只适用于本地，你只能在获得远程主机的shell（如cmd，telnet等）后，才能向远程主机执行。

1 建立/删除ipc$连接的命令1）建立空连接:net use \\127.0.0.1\ipc$ "" /user:""2）建立非空连接:net use \\127.0.0.1\ipc$ "密码" /user:"用户名"3）删除连接:net use \\127.0.0.1\ipc$ /del2 在ipc$连接中对远程主机的操作命令1）查看远程主机的共享资源（看不到默认共享）:net view \\127.0.0.12）查看远程主机的当前时间:net time \\127.0.0.13）得到远程主机的netbios用户名列表:nbtstat -A 127.0.0.14）映射/删除远程共享:net use z: \\127.0.0.1\c此命令将共享名为c的共享资源映射为本地z盘net use z: /del删除映射的z盘，其他盘类推5）向远程主机复制文件:copy 路径\文件名\\IP\共享目录名，如：copy c:\xinxin.exe \\127.0.0.1\c$即将c盘下的xinxin.exe复制到对方c盘内当然，你也可以把远程主机上的文件复制到自己的机器里：copy \\127.0.0.1\c$\xinxin.exe c:\6）远程添加计划任务:at \\IP时间程序名如：at \\127.0.0.0 11:00 xinxin.exe注意：时间尽量使用24小时制；如果你打算运行的程序在系统默认搜索路径（比如system32/）下则不用加路径，否则必须加全路径3 本地命令1）查看本地主机的共享资源（可以看到本地的默认共享）net share2）得到本地主机的用户列表net user3）显示本地某用户的帐户信息net user 帐户名4）显示本地主机当前启动的服务net start5）启动/关闭本地服务net start 服务名net stop 服务名6）在本地添加帐户net user 帐户名密码/add7）激活禁用的用户net uesr 帐户名/active:yes8）加入管理员组net localgroup administrators 帐户名/add很显然的是，虽然这些都是本地命令，但如果你在远程主机的shell中输入，比如你telnet 成功后输入上面这些命令，那么这些本地输入将作用在远程主机上。

防范ipc$入侵:1.禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》) 首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现问题等等)2.禁止默认共享1）察看本地共享资源运行-cmd-输入net share2）删除共享(每次输入一个）net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /delete（如果有e,f,……可以继续删除）3）停止server服务net stop server /y （重新启动后server服务会重新开启）4）修改注册表运行-regeditserver版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer（DWORD）的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks（DWORD）的键值改为:00000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3.永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用4.安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等),或者用新版本的优化大师5.设置复杂管理员密码，防止通过ipc$穷举密码。

网管，请别随意关闭默认共享不知道在什么时候，关闭Windows系统中的C$、D$、IPC$等默认共享成为了最基本的安全防范措施，惊弓之鸟们纷纷响应号召，向默认共享宣战。

然而存在是有理由的，默认共享的存在同样如此。

你可知道盲目地关闭这些默认共享会带来某些非常严重的危害吗？下面就介绍关闭默认共享后可能出现的典型问题以及如何解决这些问题的方法。

默认共享利弊共存默认共享是Windows 2000及其以上操作系统在安装完成后自动打开的共享。

只要我们知道了网络中的一台计算机的管理员账号就可以通过默认共享访问该计算机中的资源。

微软推出默认共享是为了方便管理员管理网络中的计算机，特别是在建立域的网络专门有几个默认共享用于存储用户配置文件。

然而任何事有利就有弊，在开启默认共享方便管理的同时也给计算机带来了安全隐患。

如果知道了管理员账户与密码，那么任何人都能访问别人的计算机。

这也是为什么有点安全常识的人都会将默认共享关闭的原因。

危害：默认共享不能随意关既然微软为我们提供了默认共享的功能，自然有它的作用，就好比我们为房间安装了锁一样，只有拥有了合法的钥匙（管理员权限）才能够打开房间大门。

如果我们将该锁卸掉的话，原本可以正常出入的人员也无法进入了。

因此关闭默认共享的危害与上面提到的例子一样，在防止非法用户进入系统的同时，合法用户的访问也被阻断。

在实际工作中我们可能经常使用“net share 默认共享名/delete”命令将对应的默认共享关闭，或者编辑注册表中的HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters，将LanmanServer\Parameters子项中的AutoShareServer和AutoShareWks数值配置为1。

这样系统启动后将关闭原本开放的默认共享。

以后，运行net share命令时，我们查看本地计算机共享信息时会找不到任何共享资源。

防范ipc$攻击常用方法IPC$是Windows系统中的一种共享资源，它允许用户在不需要登录到目标计算机的情况下访问该计算机的资源。

这项功能的存在使得黑客有机会通过IPC$攻击手段获取目标电脑的控制权，威胁到用户的隐私和数据安全。

为了防范IPC$攻击，我们可以采取以下常见方法：1. 禁用IPC$共享IPC$是Windows系统默认开启的一个共享，可以通过它访问目标计算机的资源。

如果我们禁用IPC$共享，黑客就无法使用该方式进行攻击了。

禁用IPC$共享的方法有多种，可以通过修改注册表、关闭服务等方式实现。

其中最常见的方法是在Windows安全策略中禁用IPC$共享。

2. 设置强密码IPC$攻击主要是利用了Windows系统默认的空密码共享漏洞，如果我们设置了强密码，就可以有效地避免IPC$攻击。

强密码应该包含大小写字母、数字和特殊字符，并且长度应该不少于8位。

3. 禁用Guest账户Guest账户是Windows系统默认开启的一个账户，它没有密码限制，可以访问IPC$共享。

为了防范IPC$攻击，我们应该禁用Guest账户，同时建议禁用其他不必要的账户。

4. 安装杀毒软件杀毒软件可以及时发现和清除病毒、木马等恶意软件，有效保护我们的计算机安全。

如果我们安装了杀毒软件，并及时更新病毒库，就可以有效地防范IPC$攻击。

5. 定期更新系统和软件Windows系统和常用软件的更新补丁可以修复系统漏洞和安全隐患，有效提高系统的安全性。

我们应该定期检查系统和软件的更新情况，并及时安装补丁，以保证计算机的安全。

6. 使用防火墙防火墙可以阻止未经授权的访问，有效保护我们的计算机安全。

我们应该开启Windows防火墙，并设置防火墙规则，禁止不必要的入站和出站连接，以防范IPC$攻击等恶意攻击。

7. 关闭不必要的服务和端口Windows系统中有很多不必要的服务和端口，这些服务和端口可能存在安全漏洞，成为黑客攻击的目标。

Windows Server 2008关闭默认windows共享Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享，对于不必要的默认共享，一般都会把它取消掉，可当又需要打开此默认共享时，又该从哪里设置呢，一般来说有两个地方，MSDOS命令和计算机管理共享文件夹，下面主要从DOS命令来设置，因为比较简单，也可进行批处理。

一、因为Windows是默认打开默认共享的，还是先从删除默认共享开始吧：首先从注册表里永久禁止打开默认共享：1、如果要禁止C$、D$、E$一类的共享，可以单击“开始→运行”命令，在运行窗口键入“Regedit”后回车，打开注册表编辑器。

依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanser ver\parameters ]分支，将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可(不存在可新建 DWORD(32-位)值)。

2、如果要禁止ADMIN$共享，可以在同样的分支下，将右侧窗口中的DOWRD值“AutoShareWKs”设置为“0”即可(不存在可新建 DWORD(32-位)值)。

3、如果要禁止IPC$共享，可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支，将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。

当不想改动注册表，或只是临时删除这些共享时，可以使用 net share 命令：输入net share 命令时可以查看当前所有的共享net share c$ /delnet share d$ /del1net share ipc$ /delnet share admin$ /del想每次开机后自动删除默认共享，只需把上面的命令保存为.bat文件，开机自动运行就可以了2、打开默认共享：先在控制面板的“服务”，看SERVER服务是否启动，如果没有启动，则将设置为自动或者手动，然后再选择启动。

信息安全师三级复习鉴定模式理论答题时间90分钟判断题：40道占40%选择题：40道占40%多选题：10道占20%操作考分为5个项目，每个项目的答题时间为20分钟操作练习题1. 操作系统（Windows 2000鉴定虚拟机）安全策略关闭端口注册表关闭默认共享分布式文件系统1.1配置帐户策略内容：设置账户密码最长存留期为60天，最短存留期为10天，帐户锁定阀值为5次登录无效，帐户锁定时间为60分钟，复位帐户锁定计数器为50分钟。

步骤：1.依次进入“开始”-“控制面板”-“管理工具”-“本地安全策略”2.展开“帐户策略”-找到“密码最长存留期”-将其修改为“60天”-找到“密码最短存留期”-将其修改为“10天”3.展开“帐户锁定策略”-找到“帐户锁定阀值”-将其值设为“5次”-按“确定”-修改“帐户锁定时间”的值为“60分钟”-修改“复位帐户锁定计数器”的值为“50分钟”1.2配置审核策略及日志内容：设置审核系统登录事件为❽成功，失败❾，设置审核策略为❽成功，失败❾。

同时，设置安全日志的事件来源为❽LSA”，类别为策略改动。

步骤：1.依次进入“开始”-“控制面板”-“管理工具”-“本地安全策略”2.展开“本地策略”-“审核策略”-找到“审核登录事件”-将其值改为“成功，失败”-找到“审核策略更改”-将其值改为“成功，失败”3.依次进入“开始”-“控制面板”-“管理工具”-“事件查看器”-右击“安全日志”-选择“属性”-选择“筛选器”-将“事件来源”改为“LSA”-将“类别”改为“策略改动”（不要关闭窗口）1.3关闭端口内容：禁止除SMTP、POP3、80之外的任何其他端口的TCP通信步骤：1.右击“网络邻居”-“属性”-“本地连接”-“属性”-选择“Internet协议(Tcp/ip)”-点击“属性”-选择“高级”-“选项”-“TCP/IP筛选”-“属性”2.在“TCP端口”一栏中选择“只允许”项-点击“添加”-依次添加“25”、“110”、“80”端口-点击“确定”备注：http:80 ftp:21/20 smtp:25 pop3:110 telnet:231.4修改注册表内容：1.通过修改注册表不显示上次登录名2.通过修改注册表使得注册表无法打开3.修改注册表禁止空连接步骤：1.不显示上次登录用户名：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\sys tem\dontdisplaylastusername，把REG_DWORD值改为1（或者使用组策略配置：GPEDIT.MSC->在“计算机配置”->“Windows设置”->“安全设置”->“本地策略”->“安全选项”->“不显示上次的用户名”改为已启用。

windows默认共享的打开和关闭？Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享，对于不必要的默认共享，一般都会把它取消掉，可当又需要打开此默认共享时，又该从哪里设置呢，一般来说有两个地方，MSDOS命令和计算机管理共享文件夹，下面主要从DOS命令来设置，因为比较简单，也可进行批处理。

一、因为Windows是默认打开默认共享的，还是先从删除默认共享开始吧：首先从注册表里永久禁止打开默认共享：如果要禁止C$、D$、E$一类的共享，可以单击“开始→运行”命令，在运行窗口键入“Regedit”后回车，打开注册表编辑器。

依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ]分支，将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。

如果要禁止ADMIN$共享，可以在同样的分支下，将右侧窗口中的DOWRD值“AutoShareWKs”设置为“0”即可。

如果要禁止IPC$共享，可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支，将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。

当不想改动注册表，或只是临时删除这些共享时，可以使用net share 命令：输入net share 命令时可以查看当前所有的共享net share c$ /delnet share d$ /delnet share ipc$ /delnet share admin$ /del想每次开机后自动删除默认共享，只需把上面的命令保存为.bat文件，开机自动运行就可以了二、打开默认共享：先在控制面板的“服务”，看SERVER服务是否启动，如果没有启动，则将设置为自动或者手动，然后再选择启动。

如何永久关闭XP系统的默认共享和IPC$共享?如果要禁止C$、D$、E$一类的共享，可以单击“开始→运行”命令，在运行窗口键入“Regedit”后回车，打开注册表编辑器。

依次展开[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters ]分支，将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。

如果要禁止ADMIN$共享，可以在同样的分支下，将右侧窗口中的DOWRD值“AutoShareWKs”设置为“0”即可。

如果要禁止IPC$共享，可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa]分支，将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。

或在注册表“HKEY＿LOCAL＿MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下，在右栏空白位置点击鼠标右键，选择“新建”，再选“字符串值”，名称中输入：“delipc＄”，这里的名字可以随便取，然后双击它就会弹出一个窗口来，输入：“net share ipc＄/del”，下次开机就可自动删掉默认共享。

修改注册表后需要重新启动机器。

同样的方法还可以删掉AMDIN＄。

输入:services.msc 就可以了.第一个：服务名称，Server 描述：支持此计算机通过网络的文件、打印、和命名管道共享。

如果服务停止，这些功能不可用。

如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

说的共享漏洞，就来自于这个服务，所以，我们就应该把服务状态改为：以停止启动类型应改为：以禁用。

好了。

这样就搞好第一个咯。

第二个，服务名称：Telnet 描述：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户，包括基于 UNIX 和 Windows 的计算机。

彻底关闭WINDOWS默认共享的4种⽅法使⽤“NET SHARE 共享⽂件夹 /DELETE”关闭后，以后⼜会重新共享。

以下四种⽅法可以解决这⼀问题，你随便选择其中的⼀种：1、如果你不在局域⽹内使⽤共享服务，⼲脆将“本地连接‘属性中的“⽹络的⽂件和打印机共享 ”卸载掉，默认共享就可以彻底被关闭了2、批处理⾃启动法打开记事本，输⼊以下内容（记得每⾏最后要回车）：复制代码代码如下:net share ipc$ /deletenet share admin$ /deletenet share c$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /delete……（你有⼏个硬盘分区就写⼏⾏这样的命令）保存为NotShare.bat（注意后缀！），然后把这个批处理⽂件拖到“程序”→“启动”项，这样每次开机就会运⾏它，也就是通过net命令关闭共享。

如果哪⼀天你需要开启某个或某些共享，只要重新编辑这个批处理⽂件即可（把相应的那个命令⾏删掉）。

3、注册表改键值法“开始”→“运⾏”输⼊“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver \parameters”项，双击右侧窗⼝中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。

如果没有 AutoShareServer项，可⾃⼰新建⼀个再改键值。

然后还是在这⼀窗⼝下再找到“AutoShareWks”项，也把键值由1改为0，关闭 admin$共享。

最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。

一、实验目的1.通过本次实验掌握攻击的方法和步骤。

2.学会使用IPC$空连接进行攻击，并掌握相应的防范方法。

二、实验设备及环境装有Windows XP操作系统的PC机，并把防火墙和杀毒软件关闭掉。

三、实验内容及步骤（截图并对图示进行必要的文字说明）1. ipc$空连接测试要与其相映射的主机的连通性。

点击本地连接——》属性——》Internet 协议——》安装——协议，点击添加。

在弹出的对话框中选择最后一项安装。

选择我的电脑——》管理——》本地用户和组——》用户，选择Administrator，右键设置密码。

在弹出的对话框中设置密码，确定，（这里设为空密码）用简单文件共享”的勾去掉，确定。

在DOS界面下，输入命令：net share，查看本机的共享磁盘。

在控制面板中选择管理工具——》服务。

在“服务”的对话框中找到“Server”，将其启动。

在控制面板中选择管理工具——》本地安全策略——》安全选项。

找到“可匿名访问的命名管道”，双击打开。

在弹出的对话框中，添加：ipc$，确定。

打开我的电脑，发现没有目标主机的磁盘。

在DOS界面下输入命令：net use \\192.168.23.42\ipc$ “”/user:”administrator”利用获取的管理员帐号和口令，与目标建立IPC$连接。

使用命令：net use k: \\192.168.101.15\c$，将目标机器的磁盘映射到本地。

再次打开我的电脑，发现已经有了对方主机的磁盘。

进入本地C盘，输入以下命令，新建一个名为wyf的bat文件，设置用户名和密码，并将其复制。

打开C盘，发现多出了刚才新建的bat文件。

复制该文件把他粘贴到目标主机的映射磁盘里。

目标主机双击该文件后运行。

在本地主机和目标主机的用户中可以查看到多出了之前新建的用户。

使用命令net use * /del断开ipc$的链接。

断开成功后，再次建立ipc$空连接，使用命令：net use \\192.168.23.42\ipc$ “123” /user:”wuyefeng”(这里的用户名和密码为之前设置的用户)，发现添加的后门帐号成功。

关闭默认共享的影响请别随意关闭默认共享！2008-06-29 16:49不知道在什么时候，关闭Windows系统中的C$、D$、IPC$等默认共享成为了最基本的安全防范措施，惊弓之鸟们纷纷响应号召，向默认共享宣战。

然而存在是有理由的，默认共享的存在同样如此。

你可知道盲目地关闭这些默认共享会带来某些非常严重的危害吗？看来大家还不知道，没关系，本文会为各位读者介绍关闭默认共享后可能出现的典型问题以及如何解决这些问题的方法。

现在，让我们走近默认共享。

默认共享利弊共存默认共享是Windows 2000及其以上操作系统在安装完成后自动打开的共享。

只要我们知道了网络中一台计算机的管理员账号就可以通过默认共享访问该计算机中的资源。

微软推出默认共享是为了方便管理员管理网络中的计算机，特别是在建立域的网络专门有几个默认共享用于存储用户配置文件。

然而任何事有利就有弊，在开启默认共享方便管理的同时也给计算机带来了安全隐患。

如果知道了管理员账户与密码，那么任何人都能访问别人的计算机。

这也是为什么有点安全常识的人都会将默认共享关闭的原因。

危害默认共享不能随意关既然微软为我们提供了默认共享的功能，自然有它的作用，就好比我们为房间安装了锁一样，只有拥有了合法的钥匙（管理员权限）才能够打开房间大门。

如果我们将该锁卸掉的话，原本可以正常出入的人员也无法进入了。

因此关闭默认共享的危害与上面提到的这个例子一样，在防止非法用户进入系统的同时，合法用户的访问也被阻断。

在实际工作中我们可能经常使用“net share 默认共享名/delete”命令将对应的默认共享关闭，或者编辑注册表中的HKEY_LOCAL_MACHINE_System_CurrentControlSetServices_LanmanServerParameters，将LanmanServerParameters子项中的AutoShareServer和AutoShareWks数值配置为1。

默认共享：在Windows 2000/XP/2003系统中，逻辑分区与Windows目录默认为共享，这是为管理员管理服务器的方便而设，但却成为了别有用心之徒可趁的安全漏洞。

IPC$IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限，在远程管理计算机和查看计算机的共享资源时使用。

利用IPC$,连接者可以与目标主机建立一个空的连接，即无需用户名和密码就能连接主机，当然这样连接是没有任何操作权限的。

但利用这个空的连接，连接者可以得到目标主机上的用户列表。

利用获得的用户列表，就可以猜密码，或者穷举密码，从而获得更高，甚至管理员权限。

只要通过IPC$，获得足够的权限，就可以在主机上运行程序、创建用户、把主机上C、D、E等逻辑分区共享给入侵者，主机上的所有资料，包括QQ密码、email 帐号密码、甚至存在电脑里的信用卡资料都会暴露在入侵者面前。

要防止别人用ipc$和默认共享入侵，需要禁止ipc$空连接，避免入侵者取得用户列表，并取消默认共享。

禁止ipc$空连接进行枚举运行regedit，找到如下组键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为：00000001Value：0x0(缺省)0x1 匿名用户无法列举本机用户列表0x2 匿名用户无法连接本机IPC$共享说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server关闭139与445端口ipc$连接是需要139或445端口来支持的，139端口的开启表示netbios协议的应用，通过139,445(win2000)端口实现对共享文件/打印机的访问，因此关闭139与445端口可以禁止ipc$连接。

IPC$的定义：IPC$是共享"命名管道"的资源，它对于程序间的通讯很重要。

在远程管理计算机和查看计算机的共享资源时使用。

IPC$的作用：利用IPC$我们可以与目标主机建立一个空的连接（无需用户名与密码），而利用这个空的连接，我们就可以得到目标主机上的用户列表.但是别人会利用这项功能，查找我们的用户列表，并使用一些字典工具，对我们的主机进行攻击.方法一：如果您想禁止%DriveLetter%$的默认共享，您可以在注册表的以下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名称：AutoShareServer类型: REG_DWORD值: 0如果您想禁止Admin$的默认共享，您可以在注册表的以下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 新建名称：AutoShareWks类型: REG_DWORD值: 0方法二：在c盘下面建立delshare.bat文件内容如下：net share c$ /delnet share d$ /delnet share admin$ /delnet share ipc$ /del这里列出来你所有的盘符。

格式类似！修改注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"delshare "= "c:\\delshare.bat附：ＩＰＣ＄常用命令：net share ipc$ (开放ＩＰＣ＄)net share ipc$ /del (删除ＩＰＣ＄)net share c=c:\ (开放对方Ｃ盘的默认共享)net start telnet (开放对方的telnet服务)net user username/add(添加用户)net localgroup administrators username (提升用户权限)注意以上的命令必须在对方ＳＨＥＬＬ下才能完成！～不是一建立ＩＰＣ＄连接就可以用的！～要通过ＩＰＣ＄拿到对方的权限才能用的命令！～。

打造个人电脑平安终极防线制止默认共享WEB平安电脑资
料
声明:
本文并非本人所著,是本人一个朋友实践而来的.适用于Windows 2000以上版本.本文所涉及到的实验在Windwos xx下通过
----------------------------------------
【一、制止默认共享】
1.先观察本地共享资源
运行-cmd-输入 share
2.删除共享(每次输入一个）
share admin$ /delete
share c$ /delete
share d$ /delete（如果有e,f,……可以继续删除）
3.删除ipc$空连接
在运行内输入regedit
在表中找到 HKEY-LOCALMACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1.
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Inter协议(TCP/IP)”
属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关
闭了139端口,制止RPC漏洞.
----------------------------------------。

电脑安全设置在哪一、禁止默认共享1.先察看本地共享资源运行-cmd-输入nethare2.删除共享(每次输入一个)nethareadmin$/deletenetharec$/deletenethared$/delete(如果有e,f,……可以继续删除)3.删除ipc$空连接在运行内输入regedit在注册表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RetrictAnonymou的数值数据由0改为1.A计划.服务策略：控制面板→管理工具→服务关闭以下服务：1.Alerter[通知选定的用户和计算机管理警报]2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]3.DitributedFileSytem[将分散的文件共享合并成一个逻辑名称,共享出去，关闭后远程计算机无法访问共享4.DitributedLinkTrackingServer[适用局域网分布式链接跟踪客户端服务]5.HumanInterfaceDeviceAcce[启用对人体学接口设备(HID)的通用输入访问]6.IMAPICD-BurningCOMService[管理CD录制]7.Inde某ingService[提供本地或远程计算机上文件的索引内容和属性,泄露信息]8.KerberoKeyDitributionCenter[授权协议登录网络]9.LiceneLogging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]10.Meenger[警报]MeetingRemoteDektopSharing[netmeeting公司留下的客户信息收集]workDDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]workDDEDSDM[管理动态数据交换(DDE)网络共享]14.PrintSpooler[打印机服务，没有打印机就禁止吧]15.RemoteDektopHelpSeionManager[管理并控制远程协助]16.RemoteRegitry[使远程计算机用户修改本地注册表]17.RoutingandRemoteAcce[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]19.SpecialAdminitrationConoleHelper[允许管理员使用紧急管理服务远程访问命令行提示符]20.TCP/IPNetBIOSHelper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络]21.Telnet[允许远程用户登录到此计算机并运行程序]22.TerminalService[允许用户以交互方式连接到远程计算机]23.WindowImageAcquiition(WIA)[照相服务，应用与数码摄象机]B计划.帐号策略：打开管理工具.本地安全设置.密码策略1.密码必须符合复杂要求性.启用2.密码最小值.我设置的是103.密码最长使用期限.我是默认设置42天4.密码最短使用期限0天5.强制密码历史记住0个密码6.用可还原的加密来存储密码禁用C计划.本地策略:打开管理工具找到本地安全设置.本地策略.审核策略1.审核策略更改成功失败2.审核登陆事件成功失败3.审核对象访问失败4.审核跟踪过程无审核5.审核目录服务访问失败6.审核特权使用失败7.审核系统事件成功失败8.审核帐户登陆时间成功失败9.审核帐户管理成功失败然后再到管理工具找到事件查看器应用程序右键属性设置日志大小上限我设置了512000KB选择不覆盖事件安全性右键属性设置日志大小上限我也是设置了512000KB选择不覆盖事件系统右键属性设置日志大小上限我都是设置了512000KB选择不覆盖事件D计划.安全策略:打开管理工具找到本地安全设置.本地策略.安全选项1.交互式登陆.不需要按Ctrl+Alt+Del启用[根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]2.网络访问.不允许SAM帐户的匿名枚举启用3.网络访问.可匿名的共享将后面的值删除4.网络访问.可匿名的命名管道将后面的值删除5.网络访问.可远程访问的注册表路径将后面的值删除6.网络访问.可远程访问的注册表的子路径将后面的值删除7.网络访问.限制匿名访问命名管道和共享8.帐户.重命名来宾帐户guet(最好写一个自己能记住中文名]让黑客去猜解guet吧,而且还得删除这个帐户,后面有详细解释)9.帐户.重命名系统管理员帐户(建议取中文名)E计划.用户权限分配策略:打开管理工具找到本地安全设置.本地策略.用户权限分配。