成 人 网 站国产免费观看

<p id="lkccd"></p>

    <td id="lkccd"></td>
    <acronym id="lkccd"></acronym>
    <table id="lkccd"><ruby id="lkccd"></ruby></table>
    <td id="lkccd"></td>
    <p id="lkccd"><strong id="lkccd"></strong></p>

    dvbbs
    聯系我 收藏本頁
    聯系我們
    論壇幫助
    dvbbs

    深圳印刷論壇世界網絡-網絡技術網絡技術 → 堵不如疏 IPC$共享安全技巧淺析


      共有11181人關注過本帖樹形打印

    主題:堵不如疏 IPC$共享安全技巧淺析

    帥哥喲,離線,有人找我嗎?
    止談風月
      1樓 個性首頁 | QQ | 信息 | 搜索 | 郵箱 | 主頁 | UC


    加好友 發短信 止談風月
    等級:管理員 貼子:1542 積分:16633 威望:5 精華:0 注冊:2007-3-17 22:33:59
    堵不如疏 IPC$共享安全技巧淺析  發貼心情 Post By:2008-12-19 23:44:11

    IPC$是共享命名管道的資源。在微軟系列的操作系統中,為了讓進程間共享通信而開放的命名管道。用戶通過提供可信任的帳戶與口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。   所以,IPC$共享命名管道設計的意圖是好的,也確實給管理員帶來了方便。但是,由于其存在一定的漏洞,這也讓黑客有機可乘,F在一些針對IPC$漏洞的攻擊方案就有一大堆。有些甚至沒有連計算機網絡基礎的人,只要照本宣科的對著資料做,也可以輕易的利用IPC$漏洞非法登陸微軟的服務器系統,進行一些破壞性的操作。所以,提高IPC$共享安全已經迫在眉睫。
      如下圖,我們右鍵點擊服務器桌面“我的電腦”,打開“共享文件夾”,就可以在右面的窗口看到當前系統的共享文件夾。IPC$共享就在其中。
       
    圖片點擊可在新窗口打開查看

        
        那有什么方法可以提高這個IPC$共享的安全性呢?“堵”與“疏”,可供大家選擇。
      第一招:堵,取消IPC$共享
      取消其共享,顯然這是杜絕IPC$安全隱患的最根本的方法?墒,由于其跟一般的共享文件夾不同,不是很輕易就可以取消共享。如在上面這個共享文件管理窗口,我們在“IPC$”條目上右鍵單擊,可以選擇“取消共享”?墒,這么操作的話,系統會提示一個錯誤信息“服務器服務要求有IPC$,他不能被刪除”。所以說,要取消IPC$共享的話,利用常規的方法還不行。
       
    圖片點擊可在新窗口打開查看

        
        如我們可以通過注冊表的設置,來取消這個IPC$共享。
      1、 在開始菜單的運行處,輸入“regedit”命令,打開注冊表編輯器。
      2、 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters。找到這一項內容。
      3、 如果采用的是2003等服務器操作系統,則在上面這個項目下,要建立一個名叫“AutoShareServer”的雙字節鍵值項,并把這個項值設置為0。如果你采用的是普通的工作站系統,則需要建立一個名叫“AutoShareWKs”的雙字節鍵值項。這個項值也設置為0。
      4、 然后重新啟動系統。如此的話,這個名叫IPC$共享就被取消了。
      不過在利用注冊表強制取消IPC$默認共享的時候,需要注意兩個問題。
      一是,這個設置不僅會取消IPC$默認共享,而且會把其他所有的默認共享都取消掉。如在2000的操作系統上,不僅會有IPC$默認共享。而且還會有C$等磁盤默認共享。采用這種方式的話,也會把磁盤默認共享禁用掉。
      二是,正如上面這個提示所說,有些服務器系統的服務需要使用IPC$默認共享。若把這個共享取消掉,則有可能會給相關服務帶來不利影響,甚至造成服務無法正常啟動。
      所以,在實際工作中,筆者是不建議采用這種“堵”的方法,強制把IPC$默認共享關掉。筆者建議采取下面這種“疏”的方式,不關掉其默認共享,而是采用“限制使用”的方式,來提高IPC$默認共享的安全性。 window.google_render_ad();
    第二招:疏,限制使用
      有些服務,必須要求啟動IPC$共享命名管道,特別是一些微軟出品的應用軟件。如微軟的SQL Server數據庫,必須要啟用IPC$共享命名管道。否則的話,數據庫就無法正常運行。IPC$共享命名管道,也是SQL Server數據庫與微軟服務器操作系統無縫集成的一個通道。所以,我們一味的停用IPC$共享命名通道,雖然提高了服務器操作系統的安全性,但是,也會使得一些應用服務無法使用。這種“玉石共焚”的方法,不是上上之策。
      筆者建議通過“限制使用”的方式,來提高IPC$共享命名管道的安全。其實,這也是比較簡單的,我們可以通過注冊表來實現這個需求。
      我們利用上面的方法打開注冊表編輯器,然后依次找到下面的這一項內容“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”。在這一項內容中,有一個叫做restrictanonymous的鍵值。這個鍵值,由三個可選的參數。如果設置為0,就是沒有限制,任何用戶,包括匿名用戶都可以使用這個共享命名管道。這是系統的默認值。如果設置為1,則表示匿名用戶無法列舉本機的用戶列表。如果設置為2,則表示匿名用戶無法連接這臺主機的IPC$共享。一般情況下,是不建議設置為2,因為這會導致依賴于共享命名管道的一些應用服務無法正常啟動。
      不過以上設置只適用于微軟早期的操作系統。在2003的服務器系統中,有一個特殊的鍵,叫做“restrictanonymoussam”。在后期的服務器系統中,要利用這個鍵來限制使用共享命名管道。如下圖:
      
    圖片點擊可在新窗口打開查看

        
        這個鍵也有兩個值,0與1。1是系統的默認值,表示匿名用戶無法列舉主機的用戶列表。0表示匿名用戶不但不能夠列舉主機的用戶列表,而且也不能夠使用默認共享命名管道。所以,一般情況下,只要把這個默認值設置為1。
      對這個“疏”的方法,筆者也有如下建議:
      首先,根據服務器系統上采用的應用服務來判斷需要如何進行設置。如果服務器系統上運行了SQL Server數據庫,則需要把這個值設置為1(如果是2003的服務器系統)。也就是說,不要讓匿名用戶列舉服務器的用戶列表,但是允許匿名用戶使用它。這一方面可以讓SQL Server等數據庫系統正常的 啟動,同時,對服務器的安全也具有一定的保障。
      其次,對于一些不需要IPC$命名管道的應用程序,也需要謹慎設置。有一些跨平臺的應用程序,如Oracle數據庫等,可以不使用IPC$命名管道。此時,從理論上說,可以取消IPC$命名管道,從而從根本上杜絕IPC$命名管道攻擊,提高服務器的安全性。不過,在取消之前,最好能夠進行嚴格的測試。因為往往在一臺服務器中,不光光就運行一個應用服務。有時候Oracle數據庫可能不需要這個IPC$共享,但是,其他應用服務就需要他。所以,是否需要禁用這個IPC$命名管道,企業服務器管理員需要測試后再作定奪。
      總之,在對待IPC$默認共享安全上,筆者的態度是“堵不如疏”,禁用不如限用。俗話說,不能夠因噎廢食。只要合理限制匿名用戶對IPC$默認共享的使用,就可以保障其安全性。同時,也不會對其他的應用服務產生不良的影響。
    window.google_render_ad();


    ▓止談風月(www.zonaiam.com)

    我們的口號:沒有最高質量的產品我們無法生存

                      沒有非常的創意我們不如不干
    支持(0中立(0反對(0單帖管理 | 引用 | 回復 回到頂部

    返回版面帖子列表

    堵不如疏 IPC$共享安全技巧淺析








    簽名  

    本站聯系電話:0755-25925567
    成 人 网 站国产免费观看

    <p id="lkccd"></p>

      <td id="lkccd"></td>
      <acronym id="lkccd"></acronym>
      <table id="lkccd"><ruby id="lkccd"></ruby></table>
      <td id="lkccd"></td>
      <p id="lkccd"><strong id="lkccd"></strong></p>