關(guān)閉網(wǎng)上鄰居訪問大門

■

攔截共享訪問請求

如果不希望自己的重要數(shù)據(jù)，被人通過網(wǎng)上鄰居窗口偷偷訪問時，最簡單的方法，就是使用Windows系統(tǒng)自帶的防火墻，攔截各種共享訪問請求。以Windows XP SP2系統(tǒng)為例，要攔截來自其他計算機的共享訪問請求時，可以依次單擊“開始”、“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“Windows安全中心”、“Windows防火墻”圖標(biāo)，打開系統(tǒng)防火墻配置界面。

其次點擊“例外”標(biāo)簽，打開如圖1所示的標(biāo)簽設(shè)置頁面，從“程序和服務(wù)”列表中，取消選中“文件和打印機共享”選項，確認(rèn)后保存設(shè)置操作即可。這樣，系統(tǒng)防火墻日后在啟用狀態(tài)下，就能關(guān)閉網(wǎng)上鄰居訪問大門了。

圖1 標(biāo)簽設(shè)置

圖2 設(shè)備用法

當(dāng)然，如果擔(dān)心忘記啟動系統(tǒng)防火墻時，也可以直接取消安裝重要主機系統(tǒng)的共享組件，徹底切斷該系統(tǒng)的共享傳輸通道。要做到這一點，只要依次點擊“開始”、“設(shè)置”、“網(wǎng)絡(luò)連接”命令，彈出網(wǎng)絡(luò)連接列表界面，選中本地連接圖標(biāo)，打開它的右鍵菜單，點擊“屬性”命令，展開本地連接屬性對話框，在常規(guī)標(biāo)簽頁面的“此連接使用下列項目”列表中，取消選中“Microsoft網(wǎng)絡(luò)的文件和打印機共享”選項，單擊“確定”按鈕保存設(shè)置操作即可。這樣，本地計算機的圖標(biāo)，就不會出現(xiàn)在別人的網(wǎng)上鄰居窗口中了。

停用NetBios over Tcpip

要想使用網(wǎng)上鄰居功能訪問網(wǎng)絡(luò)上的共享資源，必須要獲得共享資源所在主機NetBios over Tcpip協(xié)議的支持，如果沒有它的支持，那么共享訪問是無法進行的。所以，停用NetBios over Tcpip協(xié)議，網(wǎng)上鄰居的訪問大門就意味著是關(guān)閉的。

在進行該操作時，依次單擊“開始”、“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，雙擊“系統(tǒng)”圖標(biāo)，彈出系統(tǒng)屬性對話框。選擇“硬件”標(biāo)簽，在對應(yīng)標(biāo)簽頁面中點擊“設(shè)備管理器”按鈕，展開系統(tǒng)設(shè)備管理器窗口。

在該窗口菜單欄中，逐一選擇“查看”、“顯示隱藏的設(shè)備”選項，展開“非即插即用驅(qū)動程序”節(jié)點，雙擊該節(jié)點下面的NetBios over Tcpip協(xié)議，打開對應(yīng)協(xié)議屬性對話框。在“設(shè)備用法”位置處，選擇“不要使用這個設(shè)備（停用）”選項（如圖2所示），單擊“確定”按鈕保存設(shè)置，再重新啟動一次計算機系統(tǒng)即可。

禁止網(wǎng)絡(luò)訪問權(quán)限

出于安全訪問的原因，我們可以取消所有用戶賬號，包括系統(tǒng)管理員賬號的網(wǎng)絡(luò)訪問權(quán)限，來關(guān)閉重要主機系統(tǒng)的網(wǎng)上鄰居訪問大門。

對于Windows XP系統(tǒng)來說，要禁止一切用戶的網(wǎng)絡(luò)訪問權(quán)限，可以先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè) 置”、“安 全設(shè)置”、“本地策略”、“用戶權(quán)利指派”分支上。

圖3 選項設(shè)置

其次從該分支下找到“從網(wǎng)絡(luò)訪問這臺計算機”組策略選項，用鼠標(biāo)雙擊該選項，打開如圖3所示的選項設(shè)置對話框。依次選中所有用戶賬號，并點擊“刪除”按鈕，將它們從賬號列表中全部刪除，再單擊“確定”按鈕保存設(shè)置操作。經(jīng)過上述設(shè)置操作后，別人即使能夠在網(wǎng)上鄰居窗口中看到本地計算機圖標(biāo)，也無法進行共享訪問。

封鎖共享訪問端口

無論以哪種形式進行共享訪問，都需要用到137、138、139、445等網(wǎng)絡(luò)端口，如果我們采取安全防范措施，封鎖了這些開放的網(wǎng)絡(luò)訪問端口，那么所有連接這些共享端口的TCP請求都將被拒絕，這時網(wǎng)上鄰居訪問大門自然也就關(guān)閉了。這里我們使用Windows系統(tǒng)自帶的IP安全策略，來封鎖共享訪問端口。

首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯界面左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè) 置”、“安 全 設(shè)置”、“IP 安全策略，在本地計算機”分支上，在目標(biāo)分支下我們能看到安全服務(wù)器、客戶端、服務(wù)器等三條默認(rèn)的策略。

用鼠標(biāo)右鍵單擊目標(biāo)分支右側(cè)的空白區(qū)域，點擊右鍵菜單中的“創(chuàng)建IP安全策略”命令，彈出IP安全策略創(chuàng)建向?qū)Э?，點擊“下一步”按鈕，將安全策略名稱設(shè)置為“封鎖共享端口”，單擊“下一步”按鈕后，將“激活默認(rèn)響應(yīng)規(guī)則”取消選中，按“完成”按鈕返回。

接下來要在“封鎖共享端口”策略下面創(chuàng)建一條“拒絕響應(yīng)”安全規(guī)則。雙擊剛剛創(chuàng)建的“封鎖共享端口”策略，彈出對應(yīng)策略屬性對話框，點擊“規(guī)則”標(biāo)簽，取消對應(yīng)標(biāo)簽頁面的“使用添加向?qū)А边x中狀態(tài)，按下“添加”來創(chuàng)建新的安全規(guī)則。在正式創(chuàng)建規(guī)則之前，還需要先創(chuàng)建好一個篩選器，在“IP篩選器列表”標(biāo)簽頁中按“添加”添加，將新篩選器名稱輸入為“共享端口”，再按“添加”按鈕彈出IP篩選器向?qū)υ捒颍c擊“下一步”按鈕，彈出如圖4所示的設(shè)置界面。在這里將“源地址”參數(shù)設(shè)置為“任何IP地址”，之后依照提示將“目標(biāo)地址”指定為“我的IP地址”，將“IP協(xié)議類型”參數(shù)選擇為“TCP”，將端口設(shè)置為從任意端口到本地系統(tǒng)的“137”端口，單擊“確定”按鈕結(jié)束IP篩選器的創(chuàng)建任務(wù)。切換到“管理篩選器操作”選項設(shè)置頁面，點擊“添加”按鈕，彈出篩選器操作添加向?qū)В瑢⒑Y選器操作名稱取為“封鎖端口”，將篩選器操作的行為選擇為“阻止”，其他設(shè)置保持缺省數(shù)值，確認(rèn)后結(jié)束篩選器操作的創(chuàng)建任務(wù)。

現(xiàn)在正式創(chuàng)建“拒絕響應(yīng)”IP安全規(guī)則。在“IP 安全策略，在本地計算機”分支下面，找到之前創(chuàng)建好的“封鎖共享端口”策略，用鼠標(biāo)雙擊該策略選項，展開對應(yīng)策略選項設(shè)置對話框，單擊“添加”按鈕，彈出添加向?qū)υ捒?，依照向?qū)崾救渴褂媚J(rèn)設(shè)置，直到向?qū)υ捒驈棾鼍嫣崾?，詢問用戶是否“想繼續(xù)并保留這些規(guī)則的屬性嗎”時，點擊“是”按鈕，進入IP篩選器列表界面。單擊“添加”按鈕，導(dǎo)入之前創(chuàng)建好的“共享端口”IP篩選器，點擊“下一步”按鈕后，選中“封鎖端口”這個篩選器操作，確認(rèn)后完成“拒絕響應(yīng)”IP安全規(guī)則的創(chuàng)建操作了。這時，我們手頭就有一個攔截所有IP共享訪問本地137端口的安全策略了，為了讓該策略正式生效，還需要打開“封鎖共享端口”策略的右鍵菜單，執(zhí)行“指派”命令，才能讓本地系統(tǒng)正式拒絕所有計算機連接137端口的TCP請求。按照同樣的操作方法，再封鎖好138、139、445等網(wǎng)絡(luò)端口，這樣別人就無法使用網(wǎng)上鄰居訪問本地共享資源了。

圖4 設(shè)置界面

圖5 確認(rèn)界面

關(guān)閉系統(tǒng)IPC$服務(wù)

其實大家知道，網(wǎng)上鄰居窗口之所以能夠正常顯示出網(wǎng)絡(luò)中的共享資源，主要是獲得了共享資源所在主機IPC$服務(wù)的支持，如果將該系統(tǒng)服務(wù)關(guān)閉運行的話，那么別人就無法通過網(wǎng)上鄰居窗口查看到共享資源了，這時共享訪問也就不能正常進行了。所以，禁止運行系統(tǒng)IPC$服務(wù)，也是關(guān)閉網(wǎng)上鄰居訪問大門的一種方法。

在關(guān)閉IPC$服務(wù)之前，不妨先檢查一下共享主機系統(tǒng)中IPC$服務(wù)的運行狀態(tài)，如果看到其已經(jīng)處于運行狀態(tài)時，再執(zhí)行禁止操作。依次單擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“cmd”命令，打開MS-DOS命令行工作窗口。

其次在該窗口中輸入“net share”命令并回車，從返回的結(jié)果界面中，就能直觀知道IPC$系統(tǒng)服務(wù)的啟用狀態(tài)了。如果看到該系統(tǒng)服務(wù)已經(jīng)被啟動時，只要在DOS命令行中輸入“net share IPC$ /del”命令（如圖5所示），單擊回車鍵后，就能成功禁止IPC$服務(wù)運行了。

在停止運行IPC$服務(wù)后，我們再嘗試通過網(wǎng)上鄰居窗口訪問共享主機中的特定共享內(nèi)容時，就會發(fā)現(xiàn)雙擊網(wǎng)上鄰居窗口中的共享主機名稱后，系統(tǒng)會彈出不能找到網(wǎng)絡(luò)路徑的提示信息，這樣就意味著共享主機已經(jīng)關(guān)閉了網(wǎng)上鄰居訪問大門。