堵住漏洞设置Windows默认共享

在Windows 2000/XP系统中，隐藏着一个据说是“致命”的漏洞，让很多人一听就脸色苍白。右键单击我的电脑上的管理，然后选择系统工具→共享文本。

剪辑→共享”，你会在右边的窗口看到默认的共享(见图1)。这些标有美元“$”的符号是Windows系统的默认共享，也就是Windows安装后自动共享的功能。很多人都听说过是漏洞。

★什么是IPC$、ADMIN$、C$和D$？

IPC$(Internet Process Connection)可以理解为一种“专用管道”，可以在连接双方之间建立安全通道，实现对远程计算机的访问。Windows/2000/XP不仅提供了IPC$功能，还在系统刚安装时开启了默认共享，即所有逻辑共享(C$，D $，E $ …)和系统目录(ADMIN$)共享。所有这些共享的目的都是为了方便管理员的管理，却有意无意的导致了系统安全的隐患。

微软不经意间造成的隐患引起了很多人的关注，关于它们的各种说法也在网络间流传。看看下面这些流行的理论。你有同样的看法吗？

观点:默认共享本身就是一个漏洞，为了避免潜在的安全风险，必须删除所有的默认共享。

观点:默认分享和普通分享一样。任何人都可以使用ADMIN$，C$，D$和其他共享随意从你的电脑里偷东西。

观点:IPC$可以删除，不会再出现。

观点:要删除默认共享，只需在Windows启动脚本中创建一个批处理文件。

a:既然默认共享是漏洞，微软为什么不修复？其实默认分享是一个很有用的功能，只是我们平时不怎么用。微软的初衷是方便网络管理员远程管理。想想吧。在一个庞大的网络中。管理员有必要去某台电脑上看什么东西或者删除什么东西吗？这些管理员可以通过默认共享坐在主机前轻松做到这一点。这是微软为了方便管理而提供的功能。不知道从什么时候开始，变成了人们所说的漏洞。

2:如果你打开所有默认共享。默认共享别人能从你电脑里偷东西吗？答案是不。除非你想让他进来。默认情况下，共享是管理员级别或具有相应权限的帐户的操作。您能尝试为来宾用户使用默认共享吗？不要！为什么说要让别人进来？问问你自己。你的管理员密码呢？要么空直接。或者像123，1234这样的弱密码。用扫描工具短时间就能猜到。你已经打开了门。为什么人们不进来？

即使您的密码是空或弱密码，对方也可能无法使用默认共享访问您的计算机进行管理员级别的操作。为什么？当共享模式为仅来宾时。任何连接的用户权限只能在来宾级别。一个客人可以有多少权限？不相信你。

你可以做一个实验。使用net use命令连接到启用了“仅来宾”并打开默认共享的主机。比如:net use \ \ IP \ IPC $ " password "/用户:" administrator "我可以肯定的告诉你:你的密码填什么都行。会提醒你“订单已成功完成”。你真的有管理员权限吗？答案是否定的。你得到的只是客人的许可。幸运的是，Windows XP安装后默认的共享模式是“仅限来宾”。

3.IPC$共享在3:Windows 2000下可以删除，但在XP下不能删除。网上这种说法无非是把Windows 2000下的理论搬到XP上，没有亲身体验。我们来看看微软是怎么说的:“服务器服务需要使用默认的IPC$系统来管理共享。因此，您不能删除此共享。我们建议您不要删除Windows为根分区和卷(如C$)以及系统根文件夹(ADMIN$)创建的系统管理共享。删除这些文件夹可能会给管理员以及依赖这些共享的程序或服务带来问题。看，只要服务器服务“Server”在运行，就不能删除IPC$。尝试删除只会导致“拒绝访问”的错误消息。当您停止服务器服务时。IPC$会自动消失。

答:创建脚本确实可以删除默认共享。但是网上很多人会提到通过组策略配置启动脚本。实际上。创建引导脚本不会删除默认共享。如果你不相信我，你可以试试。根据在线声明，使用net share命令删除共享并创建一个批处理脚本。然后添加到组策略“计算机配置→Windows设置→脚本(启动/关机)”，重启后使用net share命令检查。你会发现默认共享并没有被删除！这个剧本没有成功。

总结:

默认共享不是一个漏洞。造成安全风险的并不是默认共享本身。而是系统用户自己。当人们在网上或书上读到一些文章时。尽量通过自己的动手实践来证明正确与否。有很多东西你传给我我传给你，传下去就变味了。

建议:

1.1的漏洞。窗户一扇接着一扇。除了及时的补丁。安装杀毒软件和防火墙。我们能做的就是给我们的管理员账号设置一个强密码！特别要注意管理员内置的管理员账号。很多人的系统都没有禁用这个账号，密码是空。虽然我们不用满足Windows要求的密码复杂度。但是使用一些别人不知道但是你很熟悉的带数字和字母的密码。

2.如何使用注册表关闭默认共享:

打开注册表。在HKEY _本地_机器\系统\当前控制集\服务\ lanmanSERVER \参数下设置一个DWORD值。如果是工作站系统，如果是服务器，改成Autoshareserver就可以了！

3.杀毒软件和防火墙是必须的。奉劝那些自以为擅长用机器在互联网上跑步的人。经常在河边散步怎么能不湿鞋？不要太相信自己的能力！