如何防范ipc$入侵 
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立) 
首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co 
ntrol\LSA]把 
RestrictAnonymous = DWORD的键值改为：00000001。 
restrictanonymous REG_DWORD 
0x0 缺省 
0x1 匿名用户无法列举本机用户列表 
0x2 匿名用户无法连接本机IPC$共享 
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 
2、禁止默认共享 
1）察看本地共享资源 
运行-cmd-输入net share 
2）删除共享(每次输入一个） 
net share ipc$ /delete 
net share admin$ /delete 
net share c$ /delete 
net share d$ /delete（如果有e,f,……可以继续删除） 
3）修改注册表删除共享 
运行-regedit 
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServ 
er\Parameters] 
把AutoShareServer（DWORD）的键值改为:00000000。 
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。 
3、停止server服务 
1）暂时停止server服务 
net stop server /y （重新启动后server服务会重新开启） 
2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务 
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用 
4、安装防火墙(选中相关设置)，或者端口过滤(滤掉139,445等) 
1).解开文件和打印机共享绑定 
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性]，去掉“Microsoft网络 
的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从13 
9和445端口来的请求，别人也就看不到本机的共享了。 
停止server服务 100%可以！！！

开启

@echo off
net start Server
net share c$=c:\
net share d$=d:\
net share e$=e:\
net share f$=f:\
net share admin$
net share ipc$
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000001>> c:\delshare.reg
echo "AutoShareServer"=dword:00000001>> c:\delshare.reg
regedit /s c:\delshare.reg
del c:\delshare.reg

删除

@echo off
net stop Server
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net start Server
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
regedit /s c:\delshare.reg
del c:\delshare.reg

原来

@echo off
Color 0A
cls
echo ————————
echo 删除当前的系统共享目录
echo ————————
pause
net stop Server
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net start Server
cls
echo 注意
echo ————————
echo   共享目录全部删除完毕  
echo ————————
echo   下面将修改注册表项  
echo    
echo   关闭系统默认共享属性  
echo ————————
pause
echo 生成 delshare.reg 准备修改注册表
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo 运行 delshare.reg 修改注册表
regedit /s c:\delshare.reg
echo 删除 delshare.reg 临时文件
del c:\delshare.reg
cls
echo 注意
echo ———————-
echo   共享漏洞修补完成  
echo ———————-

1、禁止IPC空连接

　　Cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\
CurrentControlSet\Control\
LSA-RestrictAnonymous 把这个值改成”1”即可。

　　2、禁止At命令

　　Cracker往往给你个木马然后让它运行，这时他就需要at命令了。打开管理工具-服务，禁用task scheduler服务即可。

　　3、关闭超级终端服务

　　如果你开了的话，这个漏洞都烂了，我不说了。

　　4、关闭SSDP Discover Service服务

　　这个服务主要用于启动家庭网络设备上的UPnP设备，服务同时会启动5000端口。可能造成DDOS攻击，让CPU使用达到100%，从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

　　5、关闭Remote Regisry服务

　　看看就知道了，允许远程修改注册表？除非你真的脑子进水了。

　　6、禁用TCP/IP上的NetBIOS

　　网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。

　　7、关闭DCOM服务

　　这就是135端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入dcomcnfg，在弹出的组件服务窗口里选择默认属性标签，取消“在此计算机上启用分布式COM”即可。

　　8、把共享文件的权限从“everyone”组改成“授权用户”

　　“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。

　　9、取消其他不必要的服务

　　请根据自己需要自行决定，下面给出HTTP/FTP服务器需要最少的服务作为参考：

l Event Log
l License Logging Service
l Windows NTLM Security Support Provider
l Remote Procedure Call (RPC) Service
l Windows NT Server or Windows NT Workstation
l IIS Admin Service
l MSDTC
l World Wide Web Publishing Service
l Protected Storage

　　10、更改TTL值

　　Cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
.

　　实际上你可以自己更改的：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

　　11、账户安全

　　首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？

　　12、取消显示最后登录用户

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\
Winlogon：DontDisplayLastUserName把值改为1。

　　13、删除默认共享

　　有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parameters：AutoShareServer类型是REG_DWORD把值改为0即可。

　　14、禁用LanManager 身份验证

Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法： LanManager (LM) 身份验证；Windows NT(也叫NTLM)身份验证；Windows NT Version 2.0 (也叫NTLM2) 身份验证；

　　默认的情况下，当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时，LM 身份验证会优先被使用。所以建议禁止LM 身份验证方法。

　　1. 打开注册表编辑器；

　　2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa；

　　3. 选择菜单“编辑”，“添加数值”；

　　4. 数值名称中输入：LMCompatibilityLevel ，数值类型为：DWORD，单击 确定；

　　5. 双击新建的数据，并根据具体情况设置以下值：

　　0 – 发送 LM 和 NTLM响应；

　　1 – 发送 LM 和 NTLM响应；

　　2 – 仅发送 NTLM响应；

　　3 – 仅发送 NTLMv2响应；(Windows 2000有效)

　　4 – 仅发送 NTLMv2响应，拒绝 LM；(Windows 2000有效)

　　5 – 仅发送 NTLMv2响应，拒绝 LM 和 NTLM；(Windows 2000有效)

　　6. 关闭注册表编辑器；

　　7. 重新启动机器

虽然有点老了，但是部分内容还是完全可以用的，提高安全观念是关键。。