WINDOWS注冊表知識集錦.doc

注冊表知識集錦注冊表損壞時出現(xiàn)的十種癥狀注冊表文件損壞而不能正常啟動系統(tǒng)或運行應(yīng)用程序的情況經(jīng)常出現(xiàn)，那么注冊表損壞一般存在哪些癥狀呢？1、當(dāng)使用過去正常工作的程序時，得到諸如“找不到*.dll”的信息，或其他表明程序部分丟失和不能定位的信息。2、應(yīng)用程序出現(xiàn)“找不到服務(wù)器上的嵌入對象”或“找不到ole控件”這樣的錯誤提示。3、當(dāng)單擊某個文檔時，windows給出“找不到應(yīng)用程序打開這種類型的文檔”信息，即使安裝了正確的應(yīng)用程序且文檔的擴展名(或文件類型)正確。4、“資源管理器”頁面包含沒有圖標的文件夾、文件或者意料之外的奇怪圖標。5、“開始”菜單或“控制面板”項目丟失或變灰而處于不可激活狀態(tài)。6、網(wǎng)絡(luò)連接不能建立或不再出現(xiàn)在“撥號網(wǎng)絡(luò)”中或“控制面板”的“網(wǎng)絡(luò)”中。7、不久前工作正常的硬件設(shè)備不再起作用或不再出現(xiàn)在“設(shè)備管理器”的列表中。8、windows系統(tǒng)根本不能啟動，或僅能以安全模式或ms-dos模式啟動。9、windows系統(tǒng)顯示“注冊表損壞”這樣的信息。10、啟動時，系統(tǒng)調(diào)用注冊表掃描工具對注冊表文件進行檢查，然后提示當(dāng)前注冊表已損壞，將用注冊表的備份文件進行修復(fù)，并要求重新啟動系統(tǒng)。而上述過程往往要重復(fù)數(shù)次才能進入系統(tǒng)。其實此乃系統(tǒng)的誤報，此時的注冊表并沒有損壞，倒是你的內(nèi)存條或硬盤值得好好檢查一下，這是硬件故障造成的假象。以上就是注冊表損壞時所出現(xiàn)的十種癥狀，前面九項在注冊表備份了的情況下，都可以很簡單修復(fù)。注冊表的禁用及啟用方法注冊表是windows操作系統(tǒng)中的一個核心數(shù)據(jù)庫，其中存放著各種參數(shù)，直接控制著windows的啟動、硬件驅(qū)動程序的裝載以及一些windows應(yīng)用程序的運行，從而在整個系統(tǒng)中起著核心作用。這些作用包括了軟、硬件的相關(guān)配置和狀態(tài)信息，比如注冊表中保存有應(yīng)用程序和資源管理器外殼的初始條件、首選項和卸載數(shù)據(jù)等，聯(lián)網(wǎng)計算機的整個系統(tǒng)的設(shè)置和各種許可，文件擴展名與應(yīng)用程序的關(guān)聯(lián)，硬件部件的描述、狀態(tài)和屬性，性能記錄和其他底層的系統(tǒng)狀態(tài)信息，以及其他數(shù)據(jù)等。這都是些重要的東西，如何防止別人修改你的注冊表呢，我們可以讓注冊表編輯器regedit.exe禁止運行。方法如下：1、打開注冊表，找到hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystem，如果在policies下面沒有system的話，請請在它下面新建一項（主鍵），將其命名為system；2、然后在右邊空白處新建一個雙字節(jié)（dword）值，將其命名為disableregistrytools；3、雙擊disableregistrytools，將其數(shù)值數(shù)據(jù)修改為1（disableregistrytools的鍵值為1和0時分別表示鎖住和解鎖）通過上述之后，退出注冊表編輯器，再次打開注冊表時，則提示“注冊表編輯已被管理員禁用”，以后別人、甚至是你都無法再用regedit.exe 如果要恢復(fù)并可以進行編輯的話，使用windows自帶的記事本(或者任意的文本編輯器)建立一個*.reg文件(*表示文件名可任意取)。內(nèi)容如下：。regedit4 hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciessystemdisableregistrytools=dword:00000000 將上述內(nèi)容保存為一個*.reg文件，（關(guān)于大小寫與空格的提示：windows 9x/me，第一行一定是“regedit4”，而且必須全部大寫。而windows 2000/xp，第一行一定要是“windows registry editor version 5.00”。該信息非常重要，如果不正確，雖然在雙擊注冊表文件后會顯示已經(jīng)導(dǎo)入，但其實并沒有成功修改注冊表文件的內(nèi)容。第二行為空行。第三行為子鍵分支。第四行為該子鍵分支下的設(shè)置數(shù)據(jù)，其中的“dword”必須全部小寫。雙擊打開該reg文件，當(dāng)詢問您“確實要把*.reg內(nèi)的信息添加到注冊表嗎?”，選擇“是”，即可將信息成功輸入注冊表中。好了，以上就是關(guān)于注冊表的禁用和重新啟用的方法。這里是用手工的方法修改注冊表來保護?，F(xiàn)在網(wǎng)上含有惡意代碼的網(wǎng)頁也能鎖定你的注冊表，大家應(yīng)該注重防范。用注冊表修改2k/xp默認刷新率 下面介紹的修改方法只包括對windows注冊表的編輯，因此不需要運行任何來源不明的第三方應(yīng)用程序。理論上講，這種修改方法將與顯示驅(qū)動程序/適配器無關(guān)，因為它修改的是顯示器的設(shè)置值，而不是顯示驅(qū)動程序/適配器本身。重要提示：在修改之前，請確認你的顯示器支持你所希望采用的分辨率下的刷新率！后果自負！ 假定你已經(jīng)正確地安裝了你的顯示器（顯示器驅(qū)動程序支持你所想要的垂直刷新率，在這個案例里為75hz），并且你的是“普通的”系統(tǒng)（沒有啟用多顯示器支持等等），請照下面講的做：打開注冊表編輯器，查找這個鍵：hkey_local_machinesystemcurentcontrolsetcontrolclass。展開class鍵，你將看到一組類似于1113e534-eaf87542.的鍵。如果你選中其中之一，將會看到一些值，那是一個名為“默認”或“class”的字符串，或者兩者都有。它們是用于標識設(shè)備的，像“調(diào)制解調(diào)器”，“鍵盤”等等。查找“class”的值為“monitor”的鍵。展開該鍵，它下面應(yīng)該至少包含有一個子鍵，通常為“0000”。如果有多個子鍵，你必須看看哪個是當(dāng)前正在使用的，然后逐個進行修改。展開“0000”鍵，它下面應(yīng)該包含子鍵“modes”，再接著展開它，這時你應(yīng)該看到一個以你的顯示器最大分辨率命名的子鍵?，F(xiàn)在，假如你想設(shè)1024x768分辨率下的垂直刷新率為75hz，那么可在“modes”鍵下加一個子鍵“1024,768”，添加字符串值“mode1”=75-75,75-75”。現(xiàn)在如果你打開“顯示屬性”（右擊你的桌面），點擊“高級”按鈕，轉(zhuǎn)到“監(jiān)視器”標簽，你將可以選擇唯一一項刷新率即75hz。當(dāng)然，前提條件是，“0000”鍵是當(dāng)前正在使用的鍵，而且“隱藏該顯示器無法顯示的模式”選項已被選中。重復(fù)上述修改過程，添加你所想使用的所有刷新率/分辨率組合。最后，轉(zhuǎn)到“顯示屬性高級監(jiān)視器”，選擇刷新率，這里選75hz。從本質(zhì)上說，這種修改方法是將你的顯示器所支持的最低刷新率設(shè)置為你希望使用的刷新率。現(xiàn)在，所有的游戲都將在指定的刷新率下運行，不管它們使用的是direct3d還是opengl。讓收藏夾內(nèi)網(wǎng)站按字母排序 收藏夾相信是任何一個上網(wǎng)人士必備的法寶之一，每次在網(wǎng)上沖浪時，總要將一些自己感興趣的站點收藏下來，可日后想重新快速訪問某個特定站點時，卻發(fā)現(xiàn)收藏夾中的內(nèi)容密密麻麻，特定站點早已淹沒在其中，那么有沒有辦法，讓自己需要頻繁訪問的站點，突出地顯示在收藏夾中，以便日后快速調(diào)用呢?其實很簡單，你只要在收藏目標站點之前，進行以下設(shè)置，就能如愿以償:打開le瀏覽器窗口，依次單擊“工具”“l(fā)nternet選項”命令，在隨后出現(xiàn)的設(shè)置窗口中，單擊“高級”標簽，并在標簽頁面中，選中“瀏覽”設(shè)置項中的“啟用個性化收藏夾菜單”項目，然后單擊“確定”退出設(shè)置窗口。將ie窗口關(guān)閉然后重新啟動一下，再重新單擊“收藏夾”菜單時，看看有什么變化-最近訪問的站點全部“跑”到收藏夾前面顯示了。以后，你只要留意“收藏夾”最前面的內(nèi)容，就能迅速找到經(jīng)常訪問的站點地址了。另外，當(dāng)你的ie收藏夾中的站點地址太多的話，很難對某個特定站點進行快速定位時，你可以按照字母先后順序?qū)κ詹貖A進行排序，以便快速定位。具體操作為：打開注冊表編輯窗口，找到分支hkey_current_usersoftwaremicrosoft windowscurrentversionexplorermenuorder上；檢查一下“menuorder”主鍵，看看它的下面是否有“favorities”選項，倘若有的話，可以選中它并用右鍵單擊，執(zhí)行快捷菜單中的“刪除”命令，將“favorities”選項刪除掉;再重新將系統(tǒng)啟動一下，打開收藏夾后，你會發(fā)現(xiàn)已經(jīng)被收藏的站點，將會自動按照字母先后順序排列了。修改注冊表讓鍵盤和鼠標不停頓 操作系統(tǒng)有時繁忙，這時如果鍵盤輸入字符或者鼠標移動，電腦就會“不理會”它們，仿佛它們不存在一樣（一般出現(xiàn)在配置比較低的電腦上。），這就是因為鍵盤和鼠標緩沖溢出造成的，系統(tǒng)對于它們的緩沖默認設(shè)置過小。但是我們可以通過修改注冊表來增加它們的緩沖大小，讓它們不在“停工”，一路綠燈。首先我們打開注冊表編輯器，展開 “hkey_local_machinesystemcurrentcontrolsetserviceskbdclassparameters”，設(shè)置鍵值數(shù)據(jù)項“keyboarddataqueuesize”的數(shù)值數(shù)據(jù)為需要的鍵盤緩存大小即可；“mousedataqueuesize”的數(shù)值數(shù)據(jù)為需要的鼠標緩存大小即可。如果沒有此數(shù)值，自己建立數(shù)值數(shù)據(jù)即可。如果不知道設(shè)置緩存數(shù)據(jù)多少，那么一般設(shè)置數(shù)據(jù)為原設(shè)置數(shù)據(jù)的二倍即可。不再費時費力 兩招快速定位注冊表項現(xiàn)在有很多設(shè)置技巧都需要通過修改注冊表來實現(xiàn)，但在注冊表中，查找項名是相當(dāng)費時費力的。以修改驅(qū)動器的右鍵菜單來說，在“hkey_classes_root”分支下有近萬個項，要從中找到driver項可沒那么簡單，需要簡化操作。1.以名定位運行“regedit”命令打開注冊表編輯器，展開“hkey_classes_root”分支，按“d”鍵，可以選中第一個以“d”開頭的項，再點擊一下“r”鍵可直接查找到首個以“dr”開頭的項，當(dāng)然就是“driver”項了。注意:連續(xù)輸入速度一定要快，太慢的話dr將被分成兩次獨立操作，結(jié)果只會定位到r開頭的項。2.不可不用的查找功能使用查找功能來查詢須修改的項可以算是最原始的方法了，不過相當(dāng)實用。其實查找還有另一個更大的用處，那就是在你不知道具體分支項名時也可以找到。比如說你想修改回收站名稱，那么只要在查找中輸入“回收站”，把查看中的“項”、“值”、“數(shù)據(jù)”全部選中，再進行查找，就可以找到需要修改的位置了，當(dāng)然找到的不一定就只有一項，具體是哪一項就得靠自己分析了。很適合有意自學(xué)的朋友使用。事實上，不知道大家有沒有注意到，對注冊表的修改通?？偸羌性谟邢薜膸讉€主項下，如:“hkey_local_machinesystemcurrentco ntrolset”、“hkey_local_machin esoftwaremicrosoftwindowsc urrentversion”、“hkey_local_mac hinesoftwaremicrosoft”、“hke y_current_usersoftwaremicro softwindowscurrentversion”和“hke y_current_usersoftwaremicrosoft”。把這些項添加到收藏夾中，以后想查找某項的話就會方便許多。windows系統(tǒng)關(guān)機時自定義程序響應(yīng)時間 當(dāng)我們關(guān)閉裝有windows(如xp、2000、2003)操作系統(tǒng)的計算機時，操作系統(tǒng)會關(guān)閉正在運行的應(yīng)用程序和服務(wù)，并給它們一個關(guān)閉的時間限制，這個時間是20秒。如果應(yīng)用程序20秒后還是沒有響應(yīng)，系統(tǒng)會提示用戶是取消、等待還是結(jié)束該應(yīng)用程序?？墒?，有時候你會不會覺得20秒太短不夠用呢？特別是當(dāng)你打開了好多個應(yīng)用程序窗口，而有些重要的工作恰好又忘記了存盤，這時會希望多一些時間保存文件。如果能夠?qū)?yīng)用程序的響應(yīng)時間變長就好了。方法當(dāng)然是有的。通過修改下面的注冊表項，我們可以調(diào)整響應(yīng)時間，這樣如果關(guān)機時某應(yīng)用程序需要較長的時間來處理一些文件，就不會手忙腳亂了。當(dāng)然，建議使用軟件工作時隨時注意保存文件，本文只是介紹如果忘記了保存時，可以采用這種方法避免一些損失。另外要注意的是，如果你使用了ups，當(dāng)斷電時，電腦是使用ups中的電池工作，如果設(shè)置的關(guān)機時間太長，則會消耗更多的電池電量。所以在設(shè)置時，根據(jù)實際情況選擇合適的時間。下面是具體操作步驟。單擊“開始”菜單，再單擊“運行”，在“運行”對話框中輸入“regedit”并回車，打開“注冊表編輯器”。在“注冊表編輯器”中找到以下注冊表項。hkey_current_usercontrol paneldesktopwaittokillapptimeout如果你對注冊表操作不是很熟悉，建議在進行操作之前備份注冊表，方法是在“注冊表編輯器”中選擇菜單命令“文件|導(dǎo)出”，將注冊表項導(dǎo)出為注冊文件，以便必要時通過打開該文件進行恢復(fù)。可以看到“waittokillapptimeout”的數(shù)據(jù)值為“20000”，這是一個十進制數(shù)值，單位是毫秒，20000毫秒即20秒。雙擊“waittokillapptimeout”，打開“編輯字符串”對話框，在“數(shù)值數(shù)據(jù)”下方的輸入框中輸入希望改變的時間即可，切記單位是毫秒。如圖2所示，輸入“40000”，即將響應(yīng)時間改為40秒。win xp系統(tǒng)注冊表十則設(shè)置技巧用xp已經(jīng)好久了，本人試驗和整理了許多很有意思的注冊表修改技巧，這里寫出來給大家參考。說到注冊表修改，有一句話總是不得不提：小心謹慎。修改之前必須備份，一步失誤可能讓你的機器翻臉不認人。在下面的敘述中，如果指定位置沒有這里所說的鍵/值，那么你得自己新建一個。除非特別說明，所有這里談到的值都是reg_dword類型。 一、提高xp的響應(yīng)速度找到hkey_current_usercontrol paneldesktop子鍵，修改hungapptimeout值。hungapptimeout值表示系統(tǒng)要求用戶手工結(jié)束被掛起任務(wù)的時間極限，默認值5000，類型是reg_sz，減小該值可以降低系統(tǒng)在某些特殊情形下的響應(yīng)延遲，例如，可以把該值設(shè)置為1000。調(diào)整該鍵值時應(yīng)當(dāng)注意：如果在你的系統(tǒng)上，某些軟件的運行速度本來就很慢，把該鍵值設(shè)置得太小可能使xp誤認為正在運行的軟件已經(jīng)被掛起。如果出現(xiàn)這種情況，你可以逐步增加hungapptimeout值，每次增加1000，直到xp不再把正在運行的軟件誤認為“停止響應(yīng)”。二、提高“開始”菜單的子菜單的顯示速度減小menushowdelay值（位置同上）。該值類型是reg_sz，默認400，可以把它設(shè)置為50。如果把這個值設(shè)置得太小，例如0，鼠標指針經(jīng)過菜單時子菜單會立即顯示出來，干擾用戶的選擇操作。經(jīng)過試驗，設(shè)置成50既能讓子菜單盡快出現(xiàn)，又能避免迅速跳出的子菜單干擾視線。三、減小瀏覽局域網(wǎng)的延遲時間和windows 2000一樣，xp在瀏覽局域網(wǎng)時也存在煩人的延遲問題，但介紹這個問題的資料卻很難找到。如果你瀏覽一臺win 9x的機器，例如，在網(wǎng)上鄰居的地址欄輸入“computername”，xp的機器會在它正在連接的機器上檢查“任務(wù)計劃”。這種搜索過程可能造成多達30秒的延遲。如果你直接打開某個共享資源，例如在網(wǎng)上鄰居的地址欄輸入“computernameshare”，就不會有這個延遲過程。要想避免xp搜索“任務(wù)計劃”的操作，提高瀏覽網(wǎng)絡(luò)的速度，你可以刪除hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerremotecomputernamespaced6277990-4c6a-11cf-8d87-00aa0060f5bf子鍵。該鍵的類型是reg_sz。四、禁止氣球狀的彈出信息找到hkey_current_usersoftwaremicrosoftwindowscurrentversionexploreradvanced子鍵，把十六進制值enableballoontips設(shè)置成0。五、顯示隱藏文件在hkey_current_usersoftwaremicrosoftwindowscurrent versionexploreradvanced子鍵下，有幾個值影響隱藏文件和文件夾的顯示。要讓xp顯示出隱藏的文件和文件夾，把hidden設(shè)置成1。要顯示出文件的擴展名，把hidefileext設(shè)置成0。要顯示出受保護的操作系統(tǒng)文件，把showsuperhidden設(shè)置成1。注意：這部分設(shè)置也可以通過“文件夾選項”對話框的“查看”選項卡修改。六、顯示映射網(wǎng)絡(luò)驅(qū)動器的按鈕找到hkey_current_usersoftwaremicrosoftwindowscurrentversionexploreradvanced子鍵，把mapnetdrvbtn設(shè)置成1。映射網(wǎng)絡(luò)驅(qū)動器的按鈕將出現(xiàn)在windows資源管理器和“我的電腦”的工具條上。七、清理“開始”菜單找到hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer子鍵，如果你想把除了“我的文檔”之外的所有用戶文件夾清除，那么，把nostartmenumymusic、nosmmypictures、nofavoritesmenu和norecentdocsmenu設(shè)置成1。如果你還想禁用“我的文檔”菜單，那么把nosmmydocs也設(shè)置成1。八、禁止修改用戶文件夾找到hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer。如果要鎖定“圖片收藏”、“我的文檔”、“收藏夾”、“我的音樂”這些用戶文件夾的物理位置，分別把下面這些鍵設(shè)置成1：disablemypicturesdirchange，disablepersonaldirchange，disablefavoritesdirchange，disablemymusicdirchange。九、關(guān)機時清除虛擬內(nèi)存頁面文件這一修改注冊表的操作主要是為了數(shù)據(jù)安全，但在許多場合實用意義不大。找到hkey_local_machinesystemcurrentcontrolsetcontrolsessionmanagermemory management子鍵，把clearpagefileatshutdown設(shè)置成1。十、在不同的內(nèi)存空間中運行程序找到hkey_current_usersoftwaremicrosoftwindowscurrentversionpoliciesexplorer子鍵，把memcheckboxinrundlg設(shè)置成1，“開始”菜單的“運行對話框”會增加一個“在獨立的內(nèi)存空間中運行”選項。最后提醒一下別忘了使用xp注冊表編輯器的收藏夾功能。你可以在regedit內(nèi)用“收藏”功能標記某個位置，以后就不必再一層一層往下尋找子鍵。具體用法是：運行regedit，找到目標鍵（例如hkey_local_machinesoftwaremicrosoftwindows），選中要加入收藏夾的子鍵（例如currentversion），點擊菜單“收藏夾 | 添加到收藏夾” ，為該收藏夾取一個容易記住的名字，再點擊“確定”。建議采用某種能夠幫助你識別子鍵位置的命名方案，例如“hklm.currentversion”，或“hklmsmswincv”。注冊表編輯器的一個隱藏參數(shù)我們知道，使用注冊表編輯器可以將注冊表的任何一部分導(dǎo)出為可以使用任何文本編輯器處理的注冊表文件，而我們在資源管理器中雙擊此注冊表文件時，系統(tǒng)會彈出對話框來讓用戶確認是否將此文件添加到注冊表中去，這盡管是注冊表編輯器的一個保護措施，但是有時候我們會嫌它太麻煩，其實，我們只要輸入“ 注冊表文件”，注冊表編輯器就會“靜悄悄”地將你指定的注冊表文件導(dǎo)入到系統(tǒng)注冊表中去。win xp注冊表還原簡單一法 windows將其配置信息存儲在一個稱為注冊表的數(shù)據(jù)庫中，該數(shù)據(jù)庫包含計算機中每個用戶的配置文件、有關(guān)系統(tǒng)硬件的信息、安裝的程序及屬性設(shè)置，windows在其運行中不斷引用這些信息。win xp提供了一個還原注冊表的新方法，可以免除你在系統(tǒng)損壞后，重新安裝windows的漫長煎熬。 l重新啟動計算機，在看到“選擇啟動操作系統(tǒng)”消息后，請按“f8”鍵。2使用箭頭鍵突出顯示“最后一次正確的配置”，然后按enter鍵。必須關(guān)閉num lock，數(shù)字鍵盤上的箭頭鍵才能工作。3如果有雙啟動或多啟動系統(tǒng)，請使用箭頭鍵突出顯示要啟動的操作系統(tǒng)，然后按“enter”鍵。成功啟動windows后，注冊表將恢復(fù)到上次成功啟動計算機時的狀態(tài)。選擇“最后一次正確的配置” 是解決從問題（如新添加的驅(qū)動程序與硬件不相符）中恢復(fù)系統(tǒng)的一種方法，但是它不能解決由于驅(qū)動程序或文件被損壞或丟失所導(dǎo)致的問題。而且windows只還原注冊表頂hklmsystemcurrentcontrolset 中的信息，任何在其它注冊表項中所做的更改均保持不變。禁用危險的遠程注冊表各位使用windows 2000的用戶，當(dāng)你在編輯注冊表時，可曾留意注冊表編輯器菜單中的“注冊表連接網(wǎng)絡(luò)注冊表”一項?微軟此舉的目的，主要是為了方便網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)中的計算機進行管理，但如果被別有用心的用戶對自己的計算機的注冊表進行遠程操作，那就非常危險了。而且在windows 2000系統(tǒng)中，是默認允許遠程注冊表操作的，那么，如何禁用它呢? 點擊“開始設(shè)置控制面板管理工具服務(wù)”，本地計算機上的所有服務(wù)都顯示出來了，找到名稱為“remote registry service”、描述為“允許遠程注冊表操作”的服務(wù)，右鍵點擊，選擇“屬性”。在對話框“常規(guī)啟動類型”處選擇“已禁用”就ok了!若你以后想啟動此服務(wù)，選擇“自動”即可。為了自己計算機的安全，趕快行動吧!（修改注冊表加強win 2000安全1、設(shè)置生存時間 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters defaultttl reg_dword 0-0xff(0-255 十進制，默認值128) 說明：指定傳出ip數(shù)據(jù)包中設(shè)置的默認生存時間(ttl)值。ttl決定了ip數(shù)據(jù)包在到達目標前在網(wǎng)絡(luò)中生存的最大時間。它實際上限定了ip數(shù)據(jù)包在丟棄前允許通過的路由器數(shù)量.有時利用此數(shù)值來探測遠程主機操作系統(tǒng)。2、防止icmp重定向報文的攻擊 hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersenableicmpredirects reg_dword 0x0(默認值為0x1) 說明：該參數(shù)控制windows 2000是否會改變其路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備(如路由器)發(fā)送給它的icmp重定向消息，有時會被利用來干壞事.win2000中默認值為1，表示響應(yīng)icmp重定向報文。3、禁止響應(yīng)icmp路由通告報文 hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersinter facesinterface performrouterdiscovery reg_dword 0x0(默認值為0x2) 說明：“icmp路由公告”功能可造成他人計算機的網(wǎng)絡(luò)連接異常，數(shù)據(jù)被竊聽，計算機被用于流量攻擊等嚴重后果.此問題曾導(dǎo)致校園網(wǎng)某些局域網(wǎng)大面積，長時間的網(wǎng)絡(luò)異常。因此建議關(guān)閉響應(yīng)icmp路由通告報文.win2000中默認值為2，表示當(dāng)dhcp發(fā)送路由器發(fā)現(xiàn)選項時啟用。4、防止syn洪水攻擊 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameterssynattackprotect reg_dword 0x2(默認值為0x0) 說明：syn攻擊保護包括減少syn-ack重新傳輸次數(shù)，以減少分配資源所保留的時間。路由緩存項資源分配延遲，直到建立連接為止.如果synattackprotect=2，則afd的連接指示一直延遲到三路握手完成為止.注意，僅在tcpmaxhalfopen和tcpmaxhalfopenretried設(shè)置超出范圍時，保護機制才會采取措施。 5、禁止c$、d$一類的缺省共享 hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparametersautoshareserver、reg_dword、0x0 6、禁止admin$缺省共享 hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparametersautosharewks、reg_dword、0x0 7、限制ipc$缺省共享 hkey_local_machinesystemcurrentcontrolsetcontrollsa restrictanonymousreg_dword 0x0 缺省 0x1 匿名用戶無法列舉本機用戶列表 0x2 匿名用戶無法連接本機ipc$共享 說明：不建議使用2，否則可能會造成你的一些服務(wù)無法啟動，如sql server8、不支持igmp協(xié)議 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters igmplevelreg_dword 0x0(默認值為0x2) 說明：記得win9x下有個bug，就是用可以用igmp使別人藍屏，修改注冊表可以修正這個bug.win2000雖然沒這個bug了，但igmp并不是必要的，因此照樣可以去掉。改成0后用route print將看不到那個討厭的224.0.0.0項了。9、設(shè)置arp緩存老化時間設(shè)置 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters arpcachelifereg_dword 0-0xffffffff(秒數(shù)，默認值為120秒) arpcacheminreferencedlifereg_dword 0-0xffffffff(秒數(shù)，默認值為600) 說明：如果arpcachelife大于或等于arpcacheminreferencedlife，則引用或未引用的arp緩存項在arpcachelife秒后到期。如果arpcachelife小于arpcacheminreferencedlife，未引用項在arpcachelife秒后到期，而引用項在arpcacheminreferencedlife秒后到期。每次將出站數(shù)據(jù)包發(fā)送到項的ip地址時，就會引用arp緩存中的項。 10、禁止死網(wǎng)關(guān)監(jiān)測技術(shù) hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersenabledeadgwdetect reg_dword 0x0(默認值為ox1) 說明：如果你設(shè)置了多個網(wǎng)關(guān)，那么你的機器在處理多個連接有困難時，就會自動改用備份網(wǎng)關(guān)。有時候這并不是一項好主意，建議禁止死網(wǎng)關(guān)監(jiān)測。11、不支持路由功能 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters ipenablerouterreg_dword 0x0(默認值為0x0) 說明：把值設(shè)置為0x1可以使win2000具備路由功能，由此帶來不必要的問題。12、做nat時放大轉(zhuǎn)換的對外端口最大值 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters maxuserportreg_dword 5000-65534(十進制)(默認值0x1388-十進制為5000) 說明：當(dāng)應(yīng)用程序從系統(tǒng)請求可用的用戶端口數(shù)時，該參數(shù)控制所使用的最大端口數(shù)。正常情況下，短期端口的分配數(shù)量為1024-5000。將該參數(shù)設(shè)置到有效范圍以外時，就會使用最接近的有效數(shù)值(5000或65534)。使用nat時建議把值放大點。13、修改mac地址 hkey_local_machinesystemcurrentcontrolsetcontrolclass 找到右窗口的說明為網(wǎng)卡的目錄，比如說是4d36e972-e325-11ce-bfc1-08002be10318 展開之，在其下的0000，0001，0002.的分支中找到driverdesc的鍵值為你網(wǎng)卡的說明，比如說driverdesc的值為intel(r) 82559 fast ethernet lan on motherboard然后在右窗口新建一字符串值，名字為networkaddress，內(nèi)容為你想要的mac值，比如說是004040404040然后重起計算機，ipconfig /all看看。用注冊表為操作系統(tǒng)砌九堵安全“墻”（眾所周知，操作系統(tǒng)的注冊表是一個藏龍臥虎的地方，所有系統(tǒng)設(shè)置都可以在注冊表中找到蹤影，所有的程序啟動方式和服務(wù)啟動類型都可通過注冊表中的小小鍵值來控制。然而，正因為注冊表的強大使得它也成為了一個藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，威脅著原本健康的操作系統(tǒng)。如何才能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運行呢?今天筆者將從服務(wù)、默認設(shè)置、權(quán)限分配等九個方面入手為大家介紹如何通過注冊表打造一個安全的系統(tǒng)。特別提示:在進行修改之前，一定要備份原有注冊表。1.拒絕“信”騷擾安全隱患:在windows 2000/xp系統(tǒng)中，默認messenger服務(wù)處于啟動狀態(tài)，不懷好意者可通過“net send”指令向目標計算機發(fā)送信息。目標計算機會不時地收到他人發(fā)來的騷擾信息，嚴重影響正常使用。解決方法:首先打開注冊表編輯器。對于系統(tǒng)服務(wù)來說，我們可以通過注冊表中“hkey_local_machinesystemcurrentcontrolsetservices”項下的各個選項來進行管理，其中的每個子鍵就是系統(tǒng)中對應(yīng)的“服務(wù)”，如“messenger”服務(wù)對應(yīng)的子鍵是“messenger”。我們只要找到messenger項下的start鍵值，將該值修改為4即可。這樣該服務(wù)就會被禁用，用戶就再也不會受到“信”騷擾了。2.關(guān)閉“遠程注冊表服務(wù)”安全隱患:如果黑客連接到了我們的計算機，而且計算機啟用了遠程注冊表服務(wù)(remote registry)，那么黑客就可遠程設(shè)置注冊表中的服務(wù)，因此遠程注冊表服務(wù)需要特別保護。解決方法:我們可將遠程注冊表服務(wù)(remote registry)的啟動方式設(shè)置為禁用。不過，黑客在入侵我們的計算機后，仍然可以通過簡單的操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動啟動”。因此我們有必要將該服務(wù)刪除。找到注冊表中“hkey_local_machinesystemcurrentcontrolsetservices”下的remoteregistry項，右鍵點擊該項選擇“刪除”，將該項刪除后就無法啟動該服務(wù)了。在刪除之前，一定要將該項信息導(dǎo)出并保存。想使用該服務(wù)時，只要將已保存的注冊表文件導(dǎo)入即可。3.請走“默認共享”安全隱患:大家都知道在windows 2000/xp/2003中，系統(tǒng)默認開啟了一些“共享”，它們是ipc$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統(tǒng)的。解決方法:要防范ipc$攻擊應(yīng)該將注冊表中“hkey_local_machinesystemcurrentcontrolsetcontrollsa”的restrictanonymous項設(shè)置為“1”，這樣就可以禁止ipc$的連接。對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparameters”項。如果系統(tǒng)為windows 2000 server或windows 2003，則要在該項中添加鍵值“autoshareserver”(類型為“reg_dword”，值為“0”)。如果系統(tǒng)為windows 2000 pro，則應(yīng)在該項中添加鍵值“autosharewks”(類型為“reg_dword”，值為“0”)。4.嚴禁系統(tǒng)隱私泄露安全隱患:在windows系統(tǒng)運行出錯的時候，系統(tǒng)內(nèi)部有一個dr.watson程序會自動將系統(tǒng)調(diào)用的隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過破解這個程序而了解系統(tǒng)的隱私信息。因此我們要阻止該程序?qū)⑿畔⑿孤冻鋈?。解決方法:找到“hkey_loacl_machinesoftwaremicrosoftwindows nt currentversionaedebug”，將auto鍵值設(shè)置為0，現(xiàn)在dr.watson就不會記錄系統(tǒng)運行時的出錯信息了。同時，依次點擊“documents and settingsall usersdocumentsdrwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個文件的目的是將dr.watson以前保存的隱私信息刪除。提示:如果已經(jīng)禁止了dr.watson程序的運行，則不會找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個文件。5.拒絕activex控件的惡意騷擾安全隱患:不少木馬和病毒都是通過在網(wǎng)頁中隱藏惡意activex控件的方法來私自運行系統(tǒng)中的程序，從而達到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，我們應(yīng)該阻止activex控件私自運行程序。解決方法:activex控件是通過調(diào)用windows scripting host組件的方式運行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣activex控件就不能調(diào)用windows scripting host了。然后，在注冊表中找到“hkey_local_machinesoftware classesclsidf935dc22-1cf0-11d0-adb9-00c04fd58a0b”，將該項刪除。通過以上操作，activex控件就再也無法私自調(diào)用腳本程序了。6.防止頁面文件泄密安全隱患:windows 2000的頁面交換文件也和上文提到的dr.watson程序一樣經(jīng)常成為黑客攻擊的對象，因為頁面文件有可能泄露一些原本在內(nèi)存中后來卻轉(zhuǎn)到硬盤中的信息。畢竟黑客不太容易查看內(nèi)存中的信息，而硬盤中的信息則極易被獲取。解決方法:找到“hkey_local_machinesystemcurrentcontrolsetcontrolsession managermemory management”，將其下的clearpagefileatshutdown項目的值設(shè)置為1。這樣，每當(dāng)重新啟動后，系統(tǒng)都會將頁面文件刪除，從而有效防止信息外泄。7.密碼填寫不能自動化安全隱患:使用windows系統(tǒng)沖浪時，常會遇到密碼信息被系統(tǒng)自動記錄的情況，以后重新訪問時系統(tǒng)會自動填寫密碼。這樣很容易造成自己的隱私信息外泄。解決方法:在“hkey_local_machinesoftwaremicrosoftwindowscurrentversionpolicies”分支中找到network子項(如果沒有可自行添加)，在該子項下建立一個新的雙字節(jié)值，名稱為disablepasswordcaching，并將該值設(shè)置為1。重新啟動計算機后，操作系統(tǒng)就不會自作聰明地記錄密碼了。8.禁止病毒啟動服務(wù)安全隱患:現(xiàn)在的病毒很聰明，不像以前只會通過注冊表的run值或msconfig中的項目進行加載。一些高級病毒會通過系統(tǒng)服務(wù)進行加載。那么，我們能不能使病毒或木馬沒有啟動服務(wù)的相應(yīng)權(quán)限呢?解決方法:運行“regedt32”指令啟用帶權(quán)限分配功能的注冊表編輯器。在注冊表中找到“hkey_local_machinesystemcurrentcontrolsetservices”分支，接著點擊菜單欄中的“安全權(quán)限”，在彈出的services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將everyone賬號導(dǎo)入進來，然后選中“everyone”賬號，將該賬號的“讀取”權(quán)限設(shè)置為“允許”，將它的“完全控制”權(quán)限取消?，F(xiàn)在任何木馬或病毒都無法自行啟動系統(tǒng)服務(wù)了。當(dāng)然，該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。9.不準病毒自行啟動安全隱患:很多病毒都是通過注冊表中的run值進行加載而實現(xiàn)隨操作系統(tǒng)的啟動而啟動的，我們可以按照“禁止病毒啟動服務(wù)”中介紹的方法將病毒和木馬對該鍵值的修改權(quán)限去掉。解決方法:運行“regedt32”指令啟動注冊表編輯器。找到注冊表中的“hkey_current_machinesoftwaremicrosoftwindowscurrentversionrun”分支，將everyone對該分支的“讀取”權(quán)限設(shè)置為“允許”，取消對“完全控制”權(quán)限的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。病毒和木馬是不斷“發(fā)展”的，我們也要不斷學(xué)習(xí)新的防護知識，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進行查殺，不如提前做好防御工作，修筑好牢固的城墻進行抵御。畢竟亡羊補牢不是我們所希望發(fā)生的事情，“防患于未然”才是我們應(yīng)該追求的。阻止對windows注冊表的遠程訪問 問題注冊表是windows操作系統(tǒng)的核心。但是在缺省情況下，所有基于windows的計算機的注冊表在網(wǎng)絡(luò)上都是可以被訪問到。了解這一點的黑客完全可以利用這個安全漏洞來對你的公司的計算機系統(tǒng)進行攻擊，并修改文件關(guān)系，并允許插入惡意代碼。為了保護你的網(wǎng)絡(luò)，你需要禁止對注冊表的遠程訪問。 解決方案你輕而易舉地可以通過修改網(wǎng)絡(luò)訪問清單來達到這一目標。根據(jù)你網(wǎng)絡(luò)的復(fù)雜程度，你可能需要考慮禁止對注冊表的遠程訪問。 注意編輯注冊表可能會有風(fēng)險，所以必須要在開始之前確保你已經(jīng)對注冊表進行了備份。修改注冊表對于使用windows 2000、windows xp、和windows server 2003系統(tǒng)的計算機，采取如下步驟：1、點擊“開始”菜單，選擇“運行”。2、輸入“regedt32.exe”，然后點擊“ok”。3、選擇“hkey_local_machinesystemcurrentcontrolsetcontrolsecurepipeservers”。4、如果winreg鍵已經(jīng)存在，跳到步驟8。如果該鍵不存在，點擊“編輯”菜單，選擇“添加”。5、把該鍵命名為“winreg”，類別設(shè)定為reg_sz。6、選擇這個新創(chuàng)建的鍵，然后點擊“編輯”菜單，選擇“增加值“。7、進行如下輸入：名稱: description類型: reg_sz值: registry server 8、選擇winreg鍵，進入安全 | 許可 。9、確保本地系統(tǒng)管理員組（system administrators group）擁有全部的訪問權(quán)，把只讀權(quán)限開放給系統(tǒng)帳戶（system account）和所有人組（everyone group）。10、關(guān)閉注冊表編輯器，重新啟動計算機。如果你為工作站或者服務(wù)器支持設(shè)定了特殊的組，而這些組的成員又不是管理員，你就應(yīng)該也為他們設(shè)定合適的權(quán)限。而且，如果你面對的機器是一臺服務(wù)器或者是一臺為特殊用戶提供遠程服務(wù)的計算機，你就必須允許有權(quán)使用服務(wù)的帳戶對相關(guān)內(nèi)容有只讀的權(quán)限。調(diào)整網(wǎng)絡(luò)注冊表修改能夠保護你內(nèi)部網(wǎng)絡(luò)需要經(jīng)過授權(quán)才能訪問，但是你還需要保護注冊表不受外部的來自互聯(lián)網(wǎng)的訪問。利用注冊表的安全漏洞對windows系統(tǒng)進行攻擊仍然非常普遍，所以你需要保證你的安全策略已經(jīng)很好地解決了這些安全漏洞。在前端的路由器或者防火墻上禁用tcp/udp端口135、137、138、139和455是一個不錯的解決方法。禁用這些端口不僅僅是能夠阻止遠程訪問注冊表，這樣做還能夠阻止大部分針對windows系統(tǒng)的遠程攻擊。關(guān)閉這些端口迅速提高你的windows網(wǎng)絡(luò)的安全性，在沒有禁用這些端口之前，你需要確認是否有商業(yè)的原因需要保持這些端口的開放。這些是你所能夠關(guān)閉的、運行windows 2000、windows xp和windows server 2003系統(tǒng)上的遠程注冊表服務(wù)（remote registry），這對于企業(yè)來說，永遠是一個非常有幫助的、實用的方法。惡意網(wǎng)頁修改注冊表的12種現(xiàn)象近來，屢屢發(fā)生網(wǎng)友在瀏覽網(wǎng)頁時，造成注冊表被修改，使得ie默認連接首頁、標題欄及ie右鍵菜單被改為瀏覽網(wǎng)頁時的地址（多為廣告信息），更有甚者使瀏覽者的電腦在啟動時出現(xiàn)一個提示窗口顯示自己的廣告，而且有愈演愈烈之勢，遇到這種情況我們該怎樣辦呢？一、注冊表被修改的原因及解決辦法 其實，該惡意網(wǎng)頁是含有有害代碼的activex網(wǎng)頁文件，這些廣告信息的出現(xiàn)是因為瀏覽者的注冊表被惡意更改的結(jié)果。1、ie默認連接首頁被修改ie瀏覽器上方的標題欄被改成“歡迎訪問網(wǎng)站”的樣式，這是最常見的篡改手段，受害者眾多。受到更改的注冊表項目為：hkey_local_machinesoftwaremicrosoft