■

拦截共享访问请求

如果不希望自己的重要数据，被人通过网上邻居窗口偷偷访问时，最简单的方法，就是使用Windows系统自带的防火墙，拦截各种共享访问请求。以Windows XP SP2系统为例，要拦截来自其他计算机的共享访问请求时，可以依次单击“开始”、“控制面板”命令，在弹出的系统控制面板窗口中，逐一双击“Windows安全中心”、“Windows防火墙”图标，打开系统防火墙配置界面。

其次点击“例外”标签，打开如图1所示的标签设置页面，从“程序和服务”列表中，取消选中“文件和打印机共享”选项，确认后保存设置操作即可。这样，系统防火墙日后在启用状态下，就能关闭网上邻居访问大门了。

图1 标签设置

图2 设备用法

当然，如果担心忘记启动系统防火墙时，也可以直接取消安装重要主机系统的共享组件，彻底切断该系统的共享传输通道。要做到这一点，只要依次点击“开始”、“设置”、“网络连接”命令，弹出网络连接列表界面，选中本地连接图标，打开它的右键菜单，点击“属性”命令，展开本地连接属性对话框，在常规标签页面的“此连接使用下列项目”列表中，取消选中“Microsoft网络的文件和打印机共享”选项，单击“确定”按钮保存设置操作即可。这样，本地计算机的图标，就不会出现在别人的网上邻居窗口中了。

停用NetBios over Tcpip

要想使用网上邻居功能访问网络上的共享资源，必须要获得共享资源所在主机NetBios over Tcpip协议的支持，如果没有它的支持，那么共享访问是无法进行的。所以，停用NetBios over Tcpip协议，网上邻居的访问大门就意味着是关闭的。

在进行该操作时，依次单击“开始”、“控制面板”命令，在弹出的系统控制面板窗口中，双击“系统”图标，弹出系统属性对话框。选择“硬件”标签，在对应标签页面中点击“设备管理器”按钮，展开系统设备管理器窗口。

在该窗口菜单栏中，逐一选择“查看”、“显示隐藏的设备”选项，展开“非即插即用驱动程序”节点，双击该节点下面的NetBios over Tcpip协议，打开对应协议属性对话框。在“设备用法”位置处，选择“不要使用这个设备（停用）”选项（如图2所示），单击“确定”按钮保存设置，再重新启动一次计算机系统即可。

禁止网络访问权限

出于安全访问的原因，我们可以取消所有用户账号，包括系统管理员账号的网络访问权限，来关闭重要主机系统的网上邻居访问大门。

对于Windows XP系统来说，要禁止一切用户的网络访问权限，可以先依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安 全设置”、“本地策略”、“用户权利指派”分支上。

图3 选项设置

其次从该分支下找到“从网络访问这台计算机”组策略选项，用鼠标双击该选项，打开如图3所示的选项设置对话框。依次选中所有用户账号，并点击“删除”按钮，将它们从账号列表中全部删除，再单击“确定”按钮保存设置操作。经过上述设置操作后，别人即使能够在网上邻居窗口中看到本地计算机图标，也无法进行共享访问。

封锁共享访问端口

无论以哪种形式进行共享访问，都需要用到137、138、139、445等网络端口，如果我们采取安全防范措施，封锁了这些开放的网络访问端口，那么所有连接这些共享端口的TCP请求都将被拒绝，这时网上邻居访问大门自然也就关闭了。这里我们使用Windows系统自带的IP安全策略，来封锁共享访问端口。

首先依次单击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑界面左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设 置”、“安 全 设置”、“IP 安全策略，在本地计算机”分支上，在目标分支下我们能看到安全服务器、客户端、服务器等三条默认的策略。

用鼠标右键单击目标分支右侧的空白区域，点击右键菜单中的“创建IP安全策略”命令，弹出IP安全策略创建向导框，点击“下一步”按钮，将安全策略名称设置为“封锁共享端口”，单击“下一步”按钮后，将“激活默认响应规则”取消选中，按“完成”按钮返回。

接下来要在“封锁共享端口”策略下面创建一条“拒绝响应”安全规则。双击刚刚创建的“封锁共享端口”策略，弹出对应策略属性对话框，点击“规则”标签，取消对应标签页面的“使用添加向导”选中状态，按下“添加”来创建新的安全规则。在正式创建规则之前，还需要先创建好一个筛选器，在“IP筛选器列表”标签页中按“添加”添加，将新筛选器名称输入为“共享端口”，再按“添加”按钮弹出IP筛选器向导对话框，点击“下一步”按钮，弹出如图4所示的设置界面。在这里将“源地址”参数设置为“任何IP地址”，之后依照提示将“目标地址”指定为“我的IP地址”，将“IP协议类型”参数选择为“TCP”，将端口设置为从任意端口到本地系统的“137”端口，单击“确定”按钮结束IP筛选器的创建任务。切换到“管理筛选器操作”选项设置页面，点击“添加”按钮，弹出筛选器操作添加向导，将筛选器操作名称取为“封锁端口”，将筛选器操作的行为选择为“阻止”，其他设置保持缺省数值，确认后结束筛选器操作的创建任务。

现在正式创建“拒绝响应”IP安全规则。在“IP 安全策略，在本地计算机”分支下面，找到之前创建好的“封锁共享端口”策略，用鼠标双击该策略选项，展开对应策略选项设置对话框，单击“添加”按钮，弹出添加向导对话框，依照向导提示全部使用默认设置，直到向导对话框弹出警告提示，询问用户是否“想继续并保留这些规则的属性吗”时，点击“是”按钮，进入IP筛选器列表界面。单击“添加”按钮，导入之前创建好的“共享端口”IP筛选器，点击“下一步”按钮后，选中“封锁端口”这个筛选器操作，确认后完成“拒绝响应”IP安全规则的创建操作了。这时，我们手头就有一个拦截所有IP共享访问本地137端口的安全策略了，为了让该策略正式生效，还需要打开“封锁共享端口”策略的右键菜单，执行“指派”命令，才能让本地系统正式拒绝所有计算机连接137端口的TCP请求。按照同样的操作方法，再封锁好138、139、445等网络端口，这样别人就无法使用网上邻居访问本地共享资源了。

图4 设置界面

图5 确认界面

关闭系统IPC$服务

其实大家知道，网上邻居窗口之所以能够正常显示出网络中的共享资源，主要是获得了共享资源所在主机IPC$服务的支持，如果将该系统服务关闭运行的话，那么别人就无法通过网上邻居窗口查看到共享资源了，这时共享访问也就不能正常进行了。所以，禁止运行系统IPC$服务，也是关闭网上邻居访问大门的一种方法。

在关闭IPC$服务之前，不妨先检查一下共享主机系统中IPC$服务的运行状态，如果看到其已经处于运行状态时，再执行禁止操作。依次单击“开始”、“运行”命令，展开系统运行对话框，输入“cmd”命令，打开MS-DOS命令行工作窗口。

其次在该窗口中输入“net share”命令并回车，从返回的结果界面中，就能直观知道IPC$系统服务的启用状态了。如果看到该系统服务已经被启动时，只要在DOS命令行中输入“net share IPC$ /del”命令（如图5所示），单击回车键后，就能成功禁止IPC$服务运行了。

在停止运行IPC$服务后，我们再尝试通过网上邻居窗口访问共享主机中的特定共享内容时，就会发现双击网上邻居窗口中的共享主机名称后，系统会弹出不能找到网络路径的提示信息，这样就意味着共享主机已经关闭了网上邻居访问大门。