為了便於局域網信息的傳輸和交流,不少人將自己的文件夾都設置為了共享,而作為服務器的Windows 2000或Windows 2003系統,更是將本地硬盤都默認地設置為了隱藏共享。不可否認的是,資源共享確實給我們帶來了不小的便利,可除了便利之外,我們也時時刻刻遭受到因共享而引起的潛在安全威脅;畢竟,黑客借助各種共享掃描工具,很輕易地就能通過共享渠道對工作站或局域網進行破壞性攻擊。這麼說來,難道是要我們放棄資源共享嗎?當然不是,只要我們在細心地做好各項安全防護的前提下,資源共享完全可以照常進行!下面,本文就對共享安全如何防范進行具體介紹,希望能對各位有用。
選准系統,增強免疫
也許你會說,選用什麼操作系統與共享安全有什麼關聯呢?其實操作系統的不同,直接決定了計算機在共享安全方面的“免疫”能力的強弱。這不,Windows 98操作系統自身存在不少共享漏洞,這給惡意攻擊者提供了不少“入侵”通道。因此如果你的計算機中安裝了Windows 98操作系統的話,遭受共享安全威脅的可能性就會比其他操作系統大得多;考慮到該操作系統先天性的不足,Microsoft公司已開始放棄對它的更新升級了,所以你的計算機最好也不要再安裝Windows 98系統了。當然,倘若你對Windows 98有一種執著“偏好”的話,還是可以采取適當的措施,彌補它的共享漏洞的,比方說可以到Microsoft官方網站中,及時下載並安裝最新安全補丁,以便將大多數共享漏洞修補好。
和Windows 98系統或Windows Me系統相比,Windows 2000系統或Windows XP系統在共享安全方面的“免疫”能力還是不錯的;當然,它們也並不是無懈可擊的,為了確保它們的“免疫”能力足夠強大,你最好也應該定期到Microsoft網站中去下載並升級相應補丁程序包,例如Windows 2000系統打上了Windows 2000 Service Pack4補丁包後,它的安全防范性能就會更甚一籌,而Windows XP系統如果打上了SP2補丁程序包的話,共享漏洞也會被“堵住”不少。
共享密碼,時刻啟用
盡管非法攻擊者能夠利用比較專業的破解工具,來輕易獲得共享資源的訪問密碼;不過筆者以為,防范普通用戶隨意訪問共享資源的最有效、最直接的方法,仍然是設置共享密碼,一旦為共享資源添加上了訪問密碼後,那麼不借助其他工具,任何人也是無法“偷窺”到共享隱私的。由於設置共享密碼的操作已經在很多媒體中都有詳細介紹,本文在這裡就不贅述了。當然,我們在設置共享密碼時,一定要確保密碼設置得足夠長,而且要比較復雜。
藏好共享,護好隱私
有時為了方便局域網中的數據交流,我們都需要先將文件夾設置為共享;不過,由於局域網中的所有工作站,都可以通過網上鄰居,訪問到該共享文件夾,這樣一來,一些重要的共享信息,就可能被其他不相關的人所“偷窺”到。為此,我們很有必要,將重要的共享文件夾巧妙地隱藏起來,以便讓毫不相干的人,無法“偷窺”到。下面就是幾種不同的隱藏方法:
1、命令隱藏法
該方法是利用“net”命令,直接將服務器或工作站中的共享文件夾,隱藏起來。例如,要隱藏服務器中的共享文件件時,你可以打開系統的運行對話框,然後輸入字符串命令“net config server /hidden:yes”,單擊回車鍵後,服務器中所有的共享文件夾,就會全部被隱藏起來
2、“$”隱藏法
這種方法比較簡單,它適合於隱藏某個共享文件夾。例如,要將共享文件夾“aaa”隱藏起來時,只需要打開資源管理器窗口,找到共享文件夾“aaa”,並用鼠標右鍵單擊之,執行快捷菜單中的“共享”命令,然後在彈出的共享設置窗口中,在共享名稱後面直接添加一個“$”,比方說“aaa$”,以後打開網上鄰居窗口時,你就不會找到“aaa”共享文件夾了。
3、注冊表修改法
這種方法,需要對注冊表熟悉才可以,而且在修改注冊表之前,為安全起見,最好將注冊表先備份一下;當然,通過修改注冊表,能夠將計算機中的所有共享文件夾都自動隱藏起來。
打開系統運行對話框,執行“Regedit”命令,彈出注冊表編輯界面,依次展開其中的分支“HKEY_LOCAL_MACHINE”、“SYSTEM”、“CurrentControlSet”、“Service”、“lanmanserver”、“parameters”;
在對應“parameters”右邊的子窗口中,選中“hidden”鍵值,並用鼠標雙擊之,在彈出的數值編輯界面中,輸入“1”,最後單擊“確定”按鈕,就能使設置生效了。
共享補丁,及時打上
即使你選用了最新版本的操作系統,仍然會存在或多或少的共享漏洞,而要想有針對性地將共享漏洞“堵住”,唯一有效的辦法就是定期到微軟官方網站中,查看是否有最新的共享漏洞補丁可以下載,要是發現的話就必須將它下載並及時打上。例如,在Windows 98系統中,如果將C盤設置為共享的話,黑客可以在遠程執行“\\被攻擊主機名稱\C\CON\CON”命令,就能很輕易地導致計算機發生藍屏現象;而要避免該現象,就必須到下載這方面的漏洞補丁,然後及時打上就可以了;再比如,通過共享通道黑客可以很方便地將木馬程序“植入”到被攻擊計算機中,要阻止黑客“植入”木馬程序的話,就可以到處,下載並打上這個漏洞的安全補丁。
此外,在下載漏洞補丁時,一定要到最權威的官方網站中下載,最好到微軟中國網站中下載,其他網站中的各種補丁包請不要輕易相信,說不定來路不明的補丁包自身就是一個“定時炸彈”。
資源共享,及時撤消
由於一旦建立了資源共享,你的計算機和其他主機之間,就會存在一條共享通道,利用這條通道,黑客就可能對你的計算機發起攻擊;要想有效切斷共享通道,最好能將資源共享狀態取消掉。當然,這並不是說不要建立資源共享,而是建議各位在使用完共享資源後,應該養成一種習慣,及時將重要資源的共享狀態取消,如此一來黑客就沒有通道進入到你的系統了。
當然了,在萬不得已需要設置資源共享時,千萬不要將整個磁盤分區都設置為共享,而應該將資源共享的范圍限制在一個文件夾中,最好是將空文件夾設置為共享狀態,然後僅把需要與他人交流的內容放入到其中,最後不要忘了將共享文件夾設置為只讀狀態;如此一來,黑客即使能夠入侵到你的系統,其破壞力也是非常有限的。
默認共享,自動刪除
由於Windows 2000以上版本的操作系統,在缺省狀態下都會自動將C盤、D盤等設置為共享,這無形之中會給黑客提供入侵“通道”;如果我們手工將C盤、D盤的默認共享狀態取消的話,重新啟動系統之後,這些默認共享又會自動建立起來。為了確保系統每次啟動後,都能自動刪除默認共享,我們可以按如下方法來實現:
首先打開記事本程序,並在編輯界面中輸入下面的命令代碼:
@echo off
net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del
然後,將上面的代碼文件保存成擴展名為“bat”的批處理文件,假設這裡將批處理文件命名為“autodel.bat”。
下面再依次單擊“開始”/“運行”命令,在彈出的運行對話框中執行“gpedit.msc”命令,打開組策略編輯界面,接著依次展開“用戶配置”、“Windows設置”、“腳本(登錄/注銷)”文件夾;再用鼠標雙擊對應“腳本”文件夾中的“登錄”選項,在其後彈出的設置界面中,單擊“添加”按鈕,將剛剛生成的“delete.bat”批處理文件導入進來,最後單擊一下“確定”按鈕,結束上面的設置後,再將計算機系統重新啟動一下,我們就會發現默認共享都被自動刪除了。
共享端口,盡量過濾
139端口、445端口讓人既愛又恨,有了這些端口我們就能輕松獲取局域網中的各種共享資源,例如共享打印機、共享文件夾,,但正是由於這些端口的開放,才導致黑客能輕松掃描到系統中的共享資源。如果我們在不需要訪問共享資源的情況下,將這些端口統統屏蔽掉的話,黑客就無法對系統進行共享攻擊了。目前,過濾共享端口的方法有很多,主要表現為:
1、TCP/IP篩選法
首先打開系統的“網絡和撥號連接”窗口,右擊其中的“Internet連接”圖標,執行快捷菜單中的“屬性”命令,在隨後彈出的設置窗口中選中“Internet協議(TCP/IP)”選項,並單擊“屬性”按鈕,再在TCP/IP屬性設置窗口中單擊“高級”按鈕,接著進入到“選項”標簽頁面,再打開“TCP/IP篩選”屬性設置窗口;
選中該窗口中的“啟用TCP/IP篩選”選項,接著在“TCP端口”設置項處,選中“只允許”選項,再單擊“添加”按鈕,將計算機系統常用的幾個端口號碼分別添加到列表中,而將139、445等有潛在威脅的端口排除在外。