XP預設分享(C$、D$)

Posted: 2009/08/05 in 電腦和網際網路

關閉 XP
預設開啟的分享資料夾, 防止駭客偷偷入侵

您或許不知道, 除了平時我們自行設定分享出來的資料夾外, Windows XP
預設會將系統資料夾、各磁碟機, 暗自分享出來。這些系統暗自分享的資料夾, 由於名稱都被動過手腳, 所以並不會在網路上的芳鄰中出現,
使用者往往也就忽略了其中的危險性。其實只要在要連線的資料夾名稱後面加上一個 "$" 符號, 就可以輕易讓它們現出原形:

  1. 先開啟網路上的芳鄰, 並切換到自己電腦
  2. 在網址列輸入" \\電腦名稱\C$"
  3. 接著就可以切換到 C 磁碟下

雖說想要遠端存取這些資料夾必須具備電腦系統管理員的權限, 一般人並無法擅自闖入, 不過要是碰到熟悉
XP 運作原理的電腦高手, 難保資料不會有外洩的顧慮, 建議您修改登錄檔內容, 將這些系統預設開啟的分享資料夾封印起來:

  1. 切換到 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanman-server\parameters"
    機碼
  2. 在右邊窗格按滑鼠右鈕執行 "DWORD 值(D)" 命令, 準備新增登錄值
  3. 將登錄值命名為 "AutoShareServer"
  4. 登錄值內容維持預設的 "0", 如此即可關閉各磁碟的分享
  5. 接著再新增一個 DWORD 類型的登錄值, 並命名為 "AutoShareWKs"
  6. 登錄值內容同樣維持預設的 "0", 即可取消系統資料夾的分享
  7. 若要開啟則把上述兩個鍵值全部設定為1即可。

修改完畢後, 必須重新開機才可讓設定生效, 您可再次進入網路上的芳鄰看看修改成果,
此後再次嘗試切換到自己電腦的 C$ 資料夾, 會發現進不去了, 表示設定已生效。

—————————————————

不知道在什麼時候,關閉Windows系統中的C$、D$、IPC$等預設共享成為了最基本的安全防範措施,驚弓之鳥們紛紛回應號召,向預設共享宣戰。然
而存在是有理由的,預設共享的存在同樣如此。你可知道盲目地關閉這些預設共享會帶來某些非常嚴重的危害嗎?看來大家還不知道,沒關係,本文會為各位讀者介
紹關閉預設共享後可能出現的典型問題以及如何解決這些問題的方法。現在,讓我們走近預設共享。

預設共享 利弊共存

預設共享是Windows 2000及其以上操作系統在安裝完成後自動開啟的共享。只要我們知道了網路中一台電腦的管理員帳號就可以通過預設共享訪問該電腦中的資源。

微軟推出預設共享是為了方便管理員管理網路中的電腦,特別是在建立域的網路專門有幾個預設共享用於儲存於使用者設定檔。然而任何事有利就有弊,在開啟預設
共享方便管理的同時也給電腦帶來了安全隱患。如果知道了管理員賬戶與密碼,那麼任何人都能訪問別人的電腦。這也是為什麼有點安全常識的人都會將預設共享關
閉的原因。

危害 預設共享不能隨意關

既然微軟為我們提供了預設共享的功能,自然有它的作用,就好比我們為房間安裝了鎖一樣,只有擁有了合法的鑰匙(管理員權限)才能夠開啟房間大門。如果我們
將該鎖卸掉的話,原本可以正常出入的人員也無法進入了。因此關閉預設共享的危害與上面提到的這個例子一樣,在防止非法用戶進入系統的同時,合法用戶的訪問
也被阻斷。

在實際工作中我們可能經常使用「net share 預設共享名 /delete」指令將對應的預設共享關閉,或者編輯註冊表中的HKEY_LOCAL_MACHINESy
stemCurrentControlSetServicesLanmanServerParameters,將
LanmanServerParameters子項中的
AutoShareServer和AutoShareWks數值組態為1。這樣系統啟動後將關閉原本開放的預設共享。以後,執行net
share指令時,我們檢視本機電腦共享訊息時會找不到任何共享資源(圖1)。

也許有的讀者關閉了預設共享,在實際使用中並沒有出現任何故障。實際上預設共享只在某些情況下用到,關閉預設共享並不會影響上網聊天、收發郵件等普通操
作,不過對於域控制器或網路中使用了C/S檔案類型的軟體等環境來說,盲目移除預設共享帶來的危害是巨大的。下面,筆者就從眾多故障中選出幾個有代表性的
為各位讀者進行分析,希望引起大家對預設共享的重視。

現象1
危害指數:★★★★
危害對像:欲登入域環境的客戶端機
出現環境:域環境

筆者將域控制器上的預設共享全部關閉後,當網路中有客戶端電腦想加入這個域時,則會出現問題。現象為Windows 98或Microsoft
Windows Millennium
Edition的客戶端電腦登入到域時會出現「域登入密碼不正確」、「沒有權限登入域」等提示。一些Windows 2000或Windows
XP的電腦登入到網路時也可能出現「域伺服器不可用」等訊息。如果我們手動式將電腦加入域時會出現「域控制器名稱沒找到」的提示。
出現上述訊息後,我們的客戶端機根本無法加入建立的域中,只能進行本地機登入,在安全性和管理性上都無法達到統一,使企業網路管理無法正常進行,規劃好的域無法執行。

為什麼客戶端無法正常加入到域中呢?究其原因是客戶端機在尋找域控制器時是通過廣播搜尋NETLOGON$這個預設共享的,如果此共享被關閉則會出現故障。

現象2
危害指數:★★★
危害對像:網路共享服務
出現環境:工作組環境、域環境

在網路中任意一台電腦上禁止所有預設共享後,在網路中其他電腦上使用UNC 路徑、映射的驅動器、net use指令、net
view指令或通過在「網路芳鄰」中瀏覽網路,以遠端方式訪問或檢視關閉預設共享的電腦時會收到「遠端伺服器不容許訪問」、「系統53錯誤,網路路徑不可
達」等訊息。

出現上述訊息後,網路中的其他電腦就無法訪問關閉預設共享的電腦。

現象3
危害指數:★★
危害對像:WINS服務
出現環境:普通網路、域環境

在關閉預設共享的電腦上WINS服務可能無法啟動或者WINS控制台顯示紅色的叉,更有甚者兩個故障同時存在。雖然WINS服務在當前網路中套用的範圍越
來越少,但是通過WINS服務我們還是可以大大加快區域網路中主機名的解析速度。WINS服務無法啟動或者WINS控制台顯示紅叉,那麼在解析主機名程序
中會出現問題。

WINS服務的異常也是我們將預設共享關閉了所帶來的,關閉預設共享會使WINS相關服務與元件的執行出現問題。
現象4
危害指數:★★★★★
危害對像:局內網安全體制
出現環境:普通網路

網路中使用了瑞星網路版殺毒軟體,在使用中將伺服器端的預設共享關閉後,客戶端出現無法正常連接瑞星殺毒伺服器的現象,同時,伺服器也無法正常檢測客戶端的漏洞以及控制客戶端昇級等操作。

上述故障自然也是將預設共享關閉造成的,瑞星網路版通過預設共享admin$來管理客戶端機,當客戶端機的admin$關閉後伺服器將無法通過自身的掃瞄模組尋找客戶端機以及它們的漏洞,關閉伺服器的admin$後則會出現客戶端機無法找到網路中的瑞星殺毒伺服器的問題。

值得注意的是,該問題不僅出現在網路版瑞星殺毒軟體上,對於大多數網路版殺毒軟體來說盲目關閉預設共享都可能帶來此危害,甚至某些網路管理軟體也會因為admin$的關閉而無法工作。

恢復 開啟預設共享

既然我們曾經盲目地把房間的鎖換掉,使房間的主人無法進入,那麼現在就得馬上做亡羊補牢的工作,將換掉的「鎖」進行恢復,讓合法的主人能夠在戶內戶外閒庭信步。

產生上述危害的原因就是關閉了預設共享,一方面是由於人為的關閉了共享,另一方面還可能是病毒或惡意程序非法關閉了這些共享。所以對於預設共享,筆者建議各位讀者還是不要隨意關閉為好。恢復的方法很簡單,按以下幾步進行設定即可。

第一步:檢查AutoShareServer和AutoShareWks註冊表值,以確保未將它們設定為0。依次點擊「開始→執行」,輸入regedit,然後按Enter鍵鍵進入註冊表編輯器。

第二步:找到並按下HKEY_LOCAL_
MACHINESystemCurrentControlSetServic
esLanmanServerParameters。

第三步:如果LanmanServerParameter
s子項中的AutoShareServer 和AutoShareW
ks DWORD值組態的數值為0,則將該值更改為1(圖2)。

第四步:重新啟動電腦。通常執行Windows Server 2003、Windows XP、Windows 2000的電腦會在啟動程序中自動新增。

第五步:啟動電腦後,我們可以通過執行CMD進入指令行模式,然後執行net share,在共享列表中應該會搜尋到Admin$、C$和IPC$等預設共享的存在。

提示:如果發現按照上述設定,預設共享還沒有出現的話,那麼很有可能是病毒或非法程序破壞了系統,我們需要用更新了最新病毒庫的殺毒軟體在安全模式下掃瞄整個系統。

另外還有一些其他的方法,例如關閉Server服務、在網路卡上去掉Microsoft客戶端驅動、以及在網路卡上去掉「文件和列印共享」選項等都可關閉
預設共享。當使用這些方法關閉預設共享後出現上述問題時,就需要通過開啟相應的Server服務,在網路卡中增加相應驅動或選項來恢復預設共享。

如何關閉預設共享是網管們經常探討的問題,不過既然現在我們知道了關閉預設共享也會帶來一定的危害,那麼是否關閉就要慎重考慮了。我們可以根據實際情況自
行取捨,一般在域環境中或網路中安裝了網路版殺毒軟體、程序的時候,還是應該保留這些預設共享,畢竟很多軟體對網路的訪問與使用都建立在預設共享的基礎之
上。

引用資料

http://cls.ravs.ntct.edu.tw/close_share.html

http://www.plays.com.tw/vbulletin/archive/index.php/t-2009.html

廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s