关于Windows的默认共享介绍

在在Windows 系统中，在“我的电脑”上右击“管理”，依次选择“系统工具→共享文件夹→共享”，就会看到一些带有美元“$”标记的符号就是Windows系统默认共享，也就是Windows在安装完毕后自动共享的功能

网上其实到处都有谈论到，现我也只是整理一下：

在在Windows 系统中，在“我的电脑”上右击“管理”，依次选择“系统工具→共享文件夹→共享”，就会看到一些带有美元“$”标记的符号就是Windows系统默认共享，也就是Windows在安装完毕后自动共享的功能。

当然在cmd命令下输入net share 同样可以查看得到。

IPC$、ADMIN$、C$、D$都是什么?

IPC$(Internet Process Connection)可以被理解为一种“专用管道”，可以在连接双方建立一条安全的通道，实现对远程计算机的访问。Windows NT/2000/XP提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(C$,D$,E$……)和系统目录(ADMIN$)共享。所有这些共享的目的，都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的隐患。

默认共享是一项非常有用的功能，只是我们平时用不到罢了。微软的初衷是便于网管进行远程管理。

默认共享是管理员级别或是有相对应权限的账户的操作。不是别人想查看你共享的东西就能查看到的，主要的限制就是你的管理员密码。同时当共享方式为仅来宾方式时，任何连接的用户权限只能是guest级别的。Windows XP安装后的默认共享方式就是”仅来宾”的方式。
同时，微软这么说过:“服务器服务需要使用默认 IPC$ 系统管理共享。因此，您不可以删除此共享，我们建议您不要删除由 Windows 为根分区和卷创建的(如 C$)和为系统根文件夹创建的 (ADMIN$) 系统管理共享。删除这些文件夹可能会给依赖这些共享的管理员和程序或服务带来问题。” 只要服务器服务”Server”正在运行当中，就不可能删除IPC$。试图删除只会出现”拒绝访问”的错误提示。当你停止了Server服务后。IPC$会自动消失。

默认共享不是个漏洞。造成安全隐患的并不是默认共享本身。而是系统使用者本身。

///////////////////

当然，针对IPC$ ，额、度娘和谷姐很好，有很多文章-.-  就不转了…

//////////////////

怎么访问那些共享？

访问WindowsXP默认共享非常简单：

一是通过“开始”→“运行”，输入“\计算机名或IP地址\D$或admin$”（不包括两侧的引号，下同）；

二是使用IE等浏览器，在地址栏中输入上述格式或“file://10.80.34.33/d$”（如图）：

//////////////////

未知的共享开了是不是有些不爽？

现在来看下怎样关闭这些共享：

先来看看cmd命令 net share 的使用

C:\Documents and Settings\Administrator>net share ?
此命令的语法是:

NET SHARE
sharename
sharename=drive:path [/GRANT:user,[READ | CHANGE | FULL]]
[/USERS:number | /UNLIMITED]
[/REMARK:"text"]
[/CACHE:Manual | Documents| Programs | BranchCach
e | None]
sharename [/USERS:number | /UNLIMITED]
[/REMARK:"text"]
[/CACHE:Manual | Documents | Programs | BranchCache | None]
{sharename | devicename | drive:path} /DELETE
sharename \\computername /DELETE
参数说明：

sharename：指共享资源的网络名。如果此名字后面加上“$”字符则此共享就会成为隐含的。
drive:path：指定将被共享的文件夹的绝对路径（包括驱动器名）。如：C:\My Documents。
/USERS：设置可以同时访问共享资源的最大用户数，“number”指具体的用户数。
/UNLIMITED：指不限定同时访问共享资源的用户数。
/REMARK：添加一个有关共享资源的描述性注释，注释内容的文本应该包含在引号(“)中。
/CACHE：指定访问共享时启动缓存的方法，以便脱机访问此共享。分三种类型：“Manual”指启用脱机客户缓存和手动重新集成，“Automatic”允许启用脱机客户缓存和自动重新集成，“No”不允许使用脱机客户缓存。
devicename：指一个或多个被共享名所共享的打印机设备（从LPT1:到LPT9:）。
/DELETE：关闭共享。

命令：

net share
含义：直接显示出本计算机上所有的共享（效果如下图中红色方框所示）

net share Tmxt
含义：直接显示出名为Tmxt的共享的详细信息

（效果如下图中红色方框所示）

net share admin$ /del
含义：关闭名admin$的共享。

///////////////////////////////////////

此为一种方法，现还附上其他的关闭默认共享的方法：

方法二：查找键值：

禁止C$、D$、E$、ADMIN$一类的共享

“开始”→“运行”输入“regedit”确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。

注意：本法必须重启机器，但一经改动就会永远停止共享。

方法三：用批处理：将下面两部分代码保存为两个文件，放在同一目录，运行Name.BAT 即可。

将下面的代码保存为.BAT文件：

@ECHO OFF
TITLE 正在取消默认的分区共享…
net share admin$ /del
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del

……（你有几个硬盘分区就写几行这样的命令）

保存为NotShare.bat（注意后缀！），然后把这个批处理文件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。

如果哪一天你需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。

方法四：将下面的代码保存为 Share.reg 文件：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
“AutoShareServer”=dword:00000000
“AutoShareWks”=dword:00000000
方法五：停止服务
控制面板——管理工具——服务——SERVER服务
（右击）——属性——常规——启动类型——己禁用
到“计算机管理”窗口中，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services），找到后双击它，在弹出的“常规”标签中把“启动类型”由原来的“自动”更改为“已禁用”。然后单击下面“服务状态”的“停止”按钮，再确认一下就OK了。

方法六：右键“停止共享”法

到“计算机管理”窗口中某个共享项（比如H$）上右键单击，选择“停止共享” 并确认后就会关闭这个共享，它下面的共享图标就会消失，重复几次所有的项目都可以停止共享。

注意：但这种方法治标不治本，如果机器重启的话，这些共享又会恢复。此法比较适合于永不关闭的服务器，简单而且有效。
方法七：卸载“文件和打印机共享”法

右击“网上邻居”选“属性”，在弹出的“网络和拨号连接”窗口中右击“本地连接”选“属性”，从“此连接使用下列选定的组件”中选中“Microsoft网络的文件和打印机共享”后，单击下面的“卸载”按钮并确认一下。

注意：本方法最大的缺陷是当你在某个文件夹上右击时，弹出的快捷菜单中的“共享”一项消失了，因为对应的功能服务已经被卸载掉了！>

/////////////////////

说到底，其实默认共享好像形不成对windows的威胁吧 ，别人如果想进来还得你给他分配权限 ，否则他也进不来。

///////////////////

关闭了默认共享，在实际使用中我们也没有出现任何故障，实际上默认共享只在某些情况下用到，关闭默认共享并不会影响上网聊天、收发邮件等普通操作，不过对于域控制器或网络中使用了C/S类型的软件等环境来说，盲目删除默认共享带来的危害是巨大的。下面是从众多故障中选出几个有代表性的分析：

现象1
危害指数：★★★★
危害对象：欲登录域环境的客户机
出现环境：域环境

将域控制器上的默认共享全部关闭后，当网络中有客户端计算机想加入这个域时，则会出现问题。现象为Windows 98或Microsoft Windows Millennium Edition的客户端计算机登录到域时会出现“域登录密码不正确”、“没有权限登录域”等提示。一些Windows 2000或Windows XP的计算机登录到网络时也可能出现“域服务器不可用”等信息。如果我们手工将计算机加入域时会出现“域控制器名称没找到”的提示。
出现上述信息后，我们的客户机根本无法加入建立的域中，只能进行本机登录，在安全性和管理性上都无法达到统一，使企业网络管理无法正常进行，规划好的域无法运行。

为什么客户端无法正常加入到域中呢？究其原因是客户机在寻找域控制器时是通过广播查找NETLOGON$这个默认共享的，如果此共享被关闭则会出现故障。

现象2
危害指数：★★★
危害对象：网络共享服务
出现环境：工作组环境、域环境

在网络中任意一台计算机上禁止所有默认共享后，在网络中其他计算机上使用UNC 路径、映射的驱动器、net use命令、net view命令或通过在“网上邻居”中浏览网络，以远程方式访问或查看关闭默认共享的计算机时会收到“远程服务器不容许访问”、“系统53错误，网络路径不可达”等信息。

出现上述信息后，网络中的其他计算机就无法访问关闭默认共享的计算机。

现象3
危害指数：★★
危害对象：WINS服务
出现环境：普通网络、域环境在关闭默认共享的计算机上WINS服务可能无法启动或者WINS控制台显示红色的叉，更有甚者两个故障同时存在。虽然WINS服务在当前网络中应用的范围越来越少，但是通过WINS服务我们还是可以大大加快局域网中主机名的解析速度。WINS服务无法启动或者WINS控制台显示红叉，那么在解析主机名过程中会出现问题。

WINS服务的异常也是我们将默认共享关闭了所带来的，关闭默认共享会使WINS相关服务与组件的运行出现问题。

现象4
危害指数：★★★★★
危害对象：内网安全体制
出现环境：普通网络

网络中使用了瑞星网络版杀毒软件，在使用中将服务器端的默认共享关闭后，客户端出现无法正常连接瑞星杀毒服务器的现象，同时，服务器也无法正常检测客户端的漏洞以及控制客户端升级等操作。

上述故障自然也是将默认共享关闭造成的，瑞星网络版通过默认共享admin$来管理客户机，当客户机的admin$关闭后服务器将无法通过自身的扫描模块寻找客户机以及它们的漏洞，关闭服务器的admin$后则会出现客户机无法找到网络中的瑞星杀毒服务器的问题。

值得注意的是，该问题不仅出现在网络版瑞星杀毒软件上，对于大多数网络版杀毒软件来说盲目关闭默认共享都可能带来此危害，甚至某些网络管理软件也会因为admin$的关闭而无法工作。

/////////////////////////

那好吧，现在看看怎么开启这些默认共享：

第一步：检查AutoShareServer和AutoShareWks注册表值，以确保未将它们设置为0。依次点击“开始→运行”，输入regedit，然后按回车键进入注册表编辑器。

第二步：找到并单击HKEY_LOCAL_
MACHINESystemCurrentControlSetServic
esLanmanServerParameters。

第三步：如果LanmanServerParameter
s子项中的AutoShareServer 和AutoShareW
ks DWORD值配置的数值为0，则将该值更改为1（图2）。

第四步：重新启动计算机。通常运行Windows Server 2003、Windows XP、Windows 2000的计算机会在启动过程中自动创建。

第五步：启动计算机后，我们可以通过运行CMD进入命令行模式，然后运行net share，在共享列表中应该会查找到Admin$、C$和IPC$等默认共享的存在。

而通过关闭Server服务、在网卡上去掉Microsoft客户端驱动、以及在网卡上去掉“文件和打印共享”选项等都可关闭默认共享。当使用这些方法关闭默认共享后出现上述问题时，就需要通过开启相应的Server服务，在网卡中添加相应驱动或选项来恢复默认共享。

//////////////

一个小东西，-.-整了这么一大串….

by duke