徹底杜絕IPC＄攻擊

Windows 2000系統默認允許用戶通過IPC$連接獲得系統內所有賬號和共享資源列表，它雖然為局域網用戶共享資源提供方便，但也可能被任何一個“心懷叵測”的人所利用，給Windows 2000系統帶來嚴重安全隱患。即使通過修改“賬戶策略”增強系統安全，也是種“治標不治本”方法，還是不能杜絕IPC$入侵。

1． 禁止IPC＄空連接

在Windows 2000服務器端，點擊“開始→運行”，在運行對話框中輸入“Regedit”命令，回車后，彈出注冊表編輯器窗口，依次展開“HKEY_LOCAL_MACHINE/SYSTEM
/CurrentControlSet/Control/Lsa”，在右欄中找到“restrictanonymous” 項，將其鍵值修改為“1”，重新啟動系統后就禁止IPC$空連接了。

2． 禁用默認隱藏共享

Windows 2000系統默認情況下，磁盤所有盤符的狀態都為隱藏共享，即使取消共享，下次重啟后所有盤符依然自動共享。這種共享給Windows 2000系統帶來安全隱患，因此要禁用默認隱藏共享。

在注冊表編輯器左欄中，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/
Services/LanmanServer/Parameters”，在右欄中找到“AutoShareServer（DWORD）”鍵，將其鍵值改為“00000000”。

如果上面AutoShareServer鍵不存在，我們可以進行手工創建，在右欄空白處單擊右鍵，選擇“新建→雙字節值”，然后修改主鍵名稱為“AutoShareServer”，其鍵值為“00000000”。最后重新啟動Windows 2000系統，就取消了默認隱藏共享。
慎用Guest賬號

在Windows工作組環境中，一般情況下，用戶要使用Guest賬號訪問共享資源。雖然Guest賬號為用戶訪問共享資源提供方便，但卻給服務器留下嚴重安全隱患，因此建議禁用Guest賬號。

在Windows 2000系統中，進入“控制面板→管理工具”，運行“計算機管理”工具，然后依次展開“計算機管理（本地）→系統工具→本地用戶和組→用戶”，找到Guest賬戶。右鍵單擊該賬號，在Guest屬性對話框中，選中“賬戶已停用”選項，單擊“確定”后，就禁用了Guest賬戶，這時該賬號出現一個紅色的叉號。

此外，還可以通過修改組策略不允許Guest賬號從網絡訪問本機，達到禁用的目的。單擊“開始→運行”，在運行框中輸入“gpedit.msc”，在組策略窗口中依次展開“本地計算機策略→計算機配置→Windows設置→安全設置→本地策略→用戶權力指派”（如圖），在右欄中找到“拒絕從網絡訪問這臺計算機”項，打開后將Guest賬號添加到列表中，接著打開“從網絡訪問此計算機”項，在屬性窗口中刪除Guest賬號。

禁用了Guest賬號后，用戶如何訪問共享資源呢？對于規模較大的網絡，使用域用戶賬號來控制對共享資源的訪問。小規模的網絡中，可以采用如下方法實現：在服務器端新建一個用戶賬號，并指定該賬號的訪問權限。然后在客戶機中新建一個相同用戶名和密碼的賬號，使用此賬號登錄客戶機后，就能安全訪問該賬號所允許的共享資源，但這種方法要為網絡中的每個客戶機都要創建一個賬號。如果大家感覺麻煩，也可以使用第三方文件共享軟件。