共享安全要保障，細微之處見真章

為了便於局域網信息的傳輸和交流，不少人將自己的文件夾都設置為了共享，而作為服務器的Windows 2000或Windows 2003系統，更是將本地硬盤都默認地設置為了隱藏共享。不可否認的是，資源共享確實給我們帶來了不小的便利，可除了便利之外，我們也時時刻刻遭受到因共享而引起的潛在安全威脅；畢竟，黑客借助各種共享掃描工具，很輕易地就能通過共享渠道對工作站或局域網進行破壞性攻擊。這麼說來，難道是要我們放棄資源共享嗎？當然不是，只要我們在細心地做好各項安全防護的前提下，資源共享完全可以照常進行！下面，本文就對共享安全如何防范進行具體介紹，希望能對各位有用。

　　選准系統，增強免疫

　　也許你會說，選用什麼操作系統與共享安全有什麼關聯呢？其實操作系統的不同，直接決定了計算機在共享安全方面的“免疫”能力的強弱。這不，Windows 98操作系統自身存在不少共享漏洞，這給惡意攻擊者提供了不少“入侵”通道。因此如果你的計算機中安裝了Windows 98操作系統的話，遭受共享安全威脅的可能性就會比其他操作系統大得多；考慮到該操作系統先天性的不足，Microsoft公司已開始放棄對它的更新升級了，所以你的計算機最好也不要再安裝Windows 98系統了。當然，倘若你對Windows 98有一種執著“偏好”的話，還是可以采取適當的措施，彌補它的共享漏洞的，比方說可以到Microsoft官方網站中，及時下載並安裝最新安全補丁，以便將大多數共享漏洞修補好。

　　和Windows 98系統或Windows Me系統相比，Windows 2000系統或Windows XP系統在共享安全方面的“免疫”能力還是不錯的；當然，它們也並不是無懈可擊的，為了確保它們的“免疫”能力足夠強大，你最好也應該定期到Microsoft網站中去下載並升級相應補丁程序包，例如Windows 2000系統打上了Windows 2000 Service Pack4補丁包後，它的安全防范性能就會更甚一籌，而Windows XP系統如果打上了SP2補丁程序包的話，共享漏洞也會被“堵住”不少。

　　共享密碼，時刻啟用

　　盡管非法攻擊者能夠利用比較專業的破解工具，來輕易獲得共享資源的訪問密碼；不過筆者以為，防范普通用戶隨意訪問共享資源的最有效、最直接的方法，仍然是設置共享密碼，一旦為共享資源添加上了訪問密碼後，那麼不借助其他工具，任何人也是無法“偷窺”到共享隱私的。由於設置共享密碼的操作已經在很多媒體中都有詳細介紹，本文在這裡就不贅述了。當然，我們在設置共享密碼時，一定要確保密碼設置得足夠長，而且要比較復雜。

　　藏好共享，護好隱私

　　有時為了方便局域網中的數據交流，我們都需要先將文件夾設置為共享；不過，由於局域網中的所有工作站，都可以通過網上鄰居，訪問到該共享文件夾，這樣一來，一些重要的共享信息，就可能被其他不相關的人所“偷窺”到。為此，我們很有必要，將重要的共享文件夾巧妙地隱藏起來，以便讓毫不相干的人，無法“偷窺”到。下面就是幾種不同的隱藏方法：

　　1、命令隱藏法

　　該方法是利用“net”命令，直接將服務器或工作站中的共享文件夾，隱藏起來。例如，要隱藏服務器中的共享文件件時，你可以打開系統的運行對話框，然後輸入字符串命令“net config server /hidden:yes”，單擊回車鍵後，服務器中所有的共享文件夾，就會全部被隱藏起來

　　2、“$”隱藏法

　　這種方法比較簡單，它適合於隱藏某個共享文件夾。例如，要將共享文件夾“aaa”隱藏起來時，只需要打開資源管理器窗口，找到共享文件夾“aaa”，並用鼠標右鍵單擊之，執行快捷菜單中的“共享”命令，然後在彈出的共享設置窗口中，在共享名稱後面直接添加一個“$”，比方說“aaa$”，以後打開網上鄰居窗口時，你就不會找到“aaa”共享文件夾了。

　　3、注冊表修改法

　　這種方法，需要對注冊表熟悉才可以，而且在修改注冊表之前，為安全起見，最好將注冊表先備份一下；當然，通過修改注冊表，能夠將計算機中的所有共享文件夾都自動隱藏起來。

　　打開系統運行對話框，執行“Regedit”命令，彈出注冊表編輯界面，依次展開其中的分支“HKEY_LOCAL_MACHINE”、“SYSTEM”、“CurrentControlSet”、“Service”、“lanmanserver”、“parameters”；

　　在對應“parameters”右邊的子窗口中，選中“hidden”鍵值，並用鼠標雙擊之，在彈出的數值編輯界面中，輸入“1”，最後單擊“確定”按鈕，就能使設置生效了。

　　共享補丁，及時打上

　　即使你選用了最新版本的操作系統，仍然會存在或多或少的共享漏洞，而要想有針對性地將共享漏洞“堵住”，唯一有效的辦法就是定期到微軟官方網站中，查看是否有最新的共享漏洞補丁可以下載，要是發現的話就必須將它下載並及時打上。例如，在Windows 98系統中，如果將C盤設置為共享的話，黑客可以在遠程執行“\\被攻擊主機名稱\C\CON\CON”命令，就能很輕易地導致計算機發生藍屏現象；而要避免該現象，就必須到下載這方面的漏洞補丁，然後及時打上就可以了；再比如，通過共享通道黑客可以很方便地將木馬程序“植入”到被攻擊計算機中，要阻止黑客“植入”木馬程序的話，就可以到處，下載並打上這個漏洞的安全補丁。

　　此外，在下載漏洞補丁時，一定要到最權威的官方網站中下載，最好到微軟中國網站中下載，其他網站中的各種補丁包請不要輕易相信，說不定來路不明的補丁包自身就是一個“定時炸彈”。

　　資源共享，及時撤消

　　由於一旦建立了資源共享，你的計算機和其他主機之間，就會存在一條共享通道，利用這條通道，黑客就可能對你的計算機發起攻擊；要想有效切斷共享通道，最好能將資源共享狀態取消掉。當然，這並不是說不要建立資源共享，而是建議各位在使用完共享資源後，應該養成一種習慣，及時將重要資源的共享狀態取消，如此一來黑客就沒有通道進入到你的系統了。

　　當然了，在萬不得已需要設置資源共享時，千萬不要將整個磁盤分區都設置為共享，而應該將資源共享的范圍限制在一個文件夾中，最好是將空文件夾設置為共享狀態，然後僅把需要與他人交流的內容放入到其中，最後不要忘了將共享文件夾設置為只讀狀態；如此一來，黑客即使能夠入侵到你的系統，其破壞力也是非常有限的。

　　默認共享，自動刪除

　　由於Windows 2000以上版本的操作系統，在缺省狀態下都會自動將C盤、D盤等設置為共享，這無形之中會給黑客提供入侵“通道”；如果我們手工將C盤、D盤的默認共享狀態取消的話，重新啟動系統之後，這些默認共享又會自動建立起來。為了確保系統每次啟動後，都能自動刪除默認共享，我們可以按如下方法來實現：

　　首先打開記事本程序，並在編輯界面中輸入下面的命令代碼：

　　@echo off

　　net share c$ /del

　　net share d$ /del

　　net share ipc$ /del

　　net share admin$ /del

　　然後，將上面的代碼文件保存成擴展名為“bat”的批處理文件，假設這裡將批處理文件命名為“autodel.bat”。

　　下面再依次單擊“開始”/“運行”命令，在彈出的運行對話框中執行“gpedit.msc”命令，打開組策略編輯界面，接著依次展開“用戶配置”、“Windows設置”、“腳本(登錄/注銷)”文件夾；再用鼠標雙擊對應“腳本”文件夾中的“登錄”選項，在其後彈出的設置界面中，單擊“添加”按鈕，將剛剛生成的“delete.bat”批處理文件導入進來，最後單擊一下“確定”按鈕，結束上面的設置後，再將計算機系統重新啟動一下，我們就會發現默認共享都被自動刪除了。

　　共享端口，盡量過濾
　　139端口、445端口讓人既愛又恨，有了這些端口我們就能輕松獲取局域網中的各種共享資源，例如共享打印機、共享文件夾，，但正是由於這些端口的開放，才導致黑客能輕松掃描到系統中的共享資源。如果我們在不需要訪問共享資源的情況下，將這些端口統統屏蔽掉的話，黑客就無法對系統進行共享攻擊了。目前，過濾共享端口的方法有很多，主要表現為：

　　1、TCP/IP篩選法

　　首先打開系統的“網絡和撥號連接”窗口，右擊其中的“Internet連接”圖標，執行快捷菜單中的“屬性”命令，在隨後彈出的設置窗口中選中“Internet協議(TCP/IP)”選項，並單擊“屬性”按鈕，再在TCP/IP屬性設置窗口中單擊“高級”按鈕，接著進入到“選項”標簽頁面，再打開“TCP/IP篩選”屬性設置窗口；

　　選中該窗口中的“啟用TCP/IP篩選”選項，接著在“TCP端口”設置項處，選中“只允許”選項，再單擊“添加”按鈕，將計算機系統常用的幾個端口號碼分別添加到列表中，而將139、445等有潛在威脅的端口排除在外。