共享安全要保障,细微之处见真章
日期:2006-03-24 荐:
为了便于局域网信息的传输和交流,不少人将自己的文件夹都设置为了共享,而作为服务器的Windows 2000或Windows 2003系统,更是将本地硬盘都默认地设置为了隐藏共享。不可否认的是,资源共享确实给我们带来了不小的便利,可除了便利之外,我们也时时刻刻遭受到因共享而引起的潜在安全威胁;毕竟,黑客借助各种共享扫描工具,很轻易地就能通过共享渠道对工作站或局域网进行破坏性攻击。这么说来,难道是要我们放弃资源共享吗?当然不是,只要我们在细心地做好各项安全防护的前提下,资源共享完全可以照常进行!下面,本文就对共享安全如何防范进行具体介绍,希望能对各位有用。
选准系统,增强免疫
也许你会说,选用什么操作系统与共享安全有什么关联呢?其实操作系统的不同,直接决定了计算机在共享安全方面的“免疫”能力的强弱。这不,Windows 98操作系统自身存在不少共享漏洞,这给恶意攻击者提供了不少“入侵”通道。因此如果你的计算机中安装了Windows 98操作系统的话,遭受共享安全威胁的可能性就会比其他操作系统大得多;考虑到该操作系统先天性的不足,Microsoft公司已开始放弃对它的更新升级了,所以你的计算机最好也不要再安装Windows 98系统了。当然,倘若你对Windows 98有一种执着“偏好”的话,还是可以采取适当的措施,弥补它的共享漏洞的,比方说可以到Microsoft官方网站中,及时下载并安装最新安全补丁,以便将大多数共享漏洞修补好。
和Windows 98系统或Windows Me系统相比,Windows 2000系统或Windows XP系统在共享安全方面的“免疫”能力还是不错的;当然,它们也并不是无懈可击的,为了确保它们的“免疫”能力足够强大,你最好也应该定期到Microsoft网站中去下载并升级相应补丁程序包,例如Windows 2000系统打上了Windows 2000 Service Pack4补丁包后,它的安全防范性能就会更甚一筹,而Windows XP系统如果打上了SP2补丁程序包的话,共享漏洞也会被“堵住”不少。
共享密码,时刻启用
尽管非法攻击者能够利用比较专业的破解工具,来轻易获得共享资源的访问密码;不过笔者以为,防范普通用户随意访问共享资源的最有效、最直接的方法,仍然是设置共享密码,一旦为共享资源添加上了访问密码后,那么不借助其他工具,任何人也是无法“偷窥”到共享隐私的。由于设置共享密码的操作已经在很多媒体中都有详细介绍,本文在这里就不赘述了。当然,我们在设置共享密码时,一定要确保密码设置得足够长,而且要比较复杂。
藏好共享,护好隐私
有时为了方便局域网中的数据交流,我们都需要先将文件夹设置为共享;不过,由于局域网中的所有工作站,都可以通过网上邻居,访问到该共享文件夹,这样一来,一些重要的共享信息,就可能被其他不相关的人所“偷窥”到。为此,我们很有必要,将重要的共享文件夹巧妙地隐藏起来,以便让毫不相干的人,无法“偷窥”到。下面就是几种不同的隐藏方法:
1、命令隐藏法
该方法是利用“net”命令,直接将服务器或工作站中的共享文件夹,隐藏起来。例如,要隐藏服务器中的共享文件件时,你可以打开系统的运行对话框,然后输入字符串命令“net config server /hidden:yes”,单击回车键后,服务器中所有的共享文件夹,就会全部被隐藏起来
2、“$”隐藏法
这种方法比较简单,它适合于隐藏某个共享文件夹。例如,要将共享文件夹“aaa”隐藏起来时,只需要打开资源管理器窗口,找到共享文件夹“aaa”,并用鼠标右键单击之,执行快捷菜单中的“共享”命令,然后在弹出的共享设置窗口中,在共享名称后面直接添加一个“$”,比方说“aaa$”,以后打开网上邻居窗口时,你就不会找到“aaa”共享文件夹了。
3、注册表修改法
这种方法,需要对注册表熟悉才可以,而且在修改注册表之前,为安全起见,最好将注册表先备份一下;当然,通过修改注册表,能够将计算机中的所有共享文件夹都自动隐藏起来。
打开系统运行对话框,执行“Regedit”命令,弹出注册表编辑界面,依次展开其中的分支“HKEY_LOCAL_MACHINE”、“SYSTEM”、“CurrentControlSet”、“Service”、“lanmanserver”、“parameters”;
在对应“parameters”右边的子窗口中,选中“hidden”键值,并用鼠标双击之,在弹出的数值编辑界面中,输入“1”,最后单击“确定”按钮,就能使设置生效了。
共享补丁,及时打上
即使你选用了最新版本的操作系统,仍然会存在或多或少的共享漏洞,而要想有针对性地将共享漏洞“堵住”,唯一有效的办法就是定期到微软官方网站中,查看是否有最新的共享漏洞补丁可以下载,要是发现的话就必须将它下载并及时打上。例如,在Windows 98系统中,如果将C盘设置为共享的话,黑客可以在远程执行“\\被攻击主机名称\C\CON\CON”命令,就能很轻易地导致计算机发生蓝屏现象;而要避免该现象,就必须到Http://download.microsoft.com/download/win98se/update/6467/w98/en-us/256015usa8.exe下载这方面的漏洞补丁,然后及时打上就可以了;再比如,通过共享通道黑客可以很方便地将木马程序“植入”到被攻击计算机中,要阻止黑客“植入”木马程序的话,就可以到http://download.microsoft.com/download/win98se/update/11958/w98/en-us/273991usa5.exe处,下载并打上这个漏洞的安全补丁。
此外,在下载漏洞补丁时,一定要到最权威的官方网站中下载,最好到微软中国网站中下载,其他网站中的各种补丁包请不要轻易相信,说不定来路不明的补丁包自身就是一个“定时炸弹”。
资源共享,及时撤消
由于一旦建立了资源共享,你的计算机和其他主机之间,就会存在一条共享通道,利用这条通道,黑客就可能对你的计算机发起攻击;要想有效切断共享通道,最好能将资源共享状态取消掉。当然,这并不是说不要建立资源共享,而是建议各位在使用完共享资源后,应该养成一种习惯,及时将重要资源的共享状态取消,如此一来黑客就没有通道进入到你的系统了。
当然了,在万不得已需要设置资源共享时,千万不要将整个磁盘分区都设置为共享,而应该将资源共享的范围限制在一个文件夹中,最好是将空文件夹设置为共享状态,然后仅把需要与他人交流的内容放入到其中,最后不要忘了将共享文件夹设置为只读状态;如此一来,黑客即使能够入侵到你的系统,其破坏力也是非常有限的。
默认共享,自动删除
由于Windows 2000以上版本的操作系统,在缺省状态下都会自动将C盘、D盘等设置为共享,这无形之中会给黑客提供入侵“通道”;如果我们手工将C盘、D盘的默认共享状态取消的话,重新启动系统之后,这些默认共享又会自动建立起来。为了确保系统每次启动后,都能自动删除默认共享,我们可以按如下方法来实现:
首先打开记事本程序,并在编辑界面中输入下面的命令代码:
@echo off
net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del
然后,将上面的代码文件保存成扩展名为“bat”的批处理文件,假设这里将批处理文件命名为“autodel.bat”。
下面再依次单击“开始”/“运行”命令,在弹出的运行对话框中执行“gpedit.msc”命令,打开组策略编辑界面,接着依次展开“用户配置”、“Windows设置”、“脚本(登录/注销)”文件夹;再用鼠标双击对应“脚本”文件夹中的“登录”选项,在其后弹出的设置界面中,单击“添加”按钮,将刚刚生成的“delete.bat”批处理文件导入进来,最后单击一下“确定”按钮,结束上面的设置后,再将计算机系统重新启动一下,我们就会发现默认共享都被自动删除了。
共享端口,尽量过滤
139端口、445端口让人既爱又恨,有了这些端口我们就能轻松获取局域网中的各种共享资源,例如共享打印机、共享文件夹,但正是由于这些端口的开放,才导致黑客能轻松扫描到系统中的共享资源。如果我们在不需要访问共享资源的情况下,将这些端口统统屏蔽掉的话,黑客就无法对系统进行共享攻击了。目前,过滤共享端口的方法有很多,主要表现为:
1、TCP/IP筛选法
首先打开系统的“网络和拨号连接”窗口,右击其中的“Internet连接”图标,执行快捷菜单中的“属性”命令,在随后弹出的设置窗口中选中“Internet协议(TCP/IP)”选项,并单击“属性”按钮,再在TCP/IP属性设置窗口中单击“高级”按钮,接着进入到“选项”标签页面,再打开“TCP/IP筛选”属性设置窗口;
选中该窗口中的“启用TCP/IP筛选”选项,接着在“TCP端口”设置项处,选中“只允许”选项,再单击“添加”按钮,将计算机系统常用的几个端口号码分别添加到列表中,而将139、445等有潜在威胁的端口排除在外。
标签: