用注冊表為操作系統(tǒng)砌九堵安全墻

1、用注冊表為操作系統(tǒng)砌九堵安 全墻用注冊表為操作系統(tǒng)砌九堵安全墻”用注冊表為操作系統(tǒng)砌九堵安全“墻”(1)眾所周知，操作系統(tǒng)的注冊表是一個(gè)藏龍臥虎的地方，所有系統(tǒng)設(shè)置都可以在 注冊表中找到蹤影，所有的程序啟動(dòng)方式和服務(wù)啟動(dòng)類型都可通過注冊表中的小小 鍵值來控制。然而，正因?yàn)樽员淼膹?qiáng)大使得它也成為了一個(gè)藏污納垢的地方。病毒和木 馬常常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，威脅著原本健康的操作系統(tǒng)。如何才 能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運(yùn)行呢？今天筆者將從服務(wù)、默認(rèn)設(shè)置、權(quán)限分配等九個(gè)方面入手為大家介紹如何通過注冊表打造一個(gè)安全的系 統(tǒng)。特別提示:在進(jìn)行修改之前，一定要備份原有注冊表。1

2、. 拒絕“信”騷擾安全隱患:在Windows 2000/XP系統(tǒng)中，默認(rèn) Messenger服務(wù)處于啟動(dòng)狀態(tài)， 不懷好意者可通過“ net send ”指令向目標(biāo)計(jì)算機(jī)發(fā)送信息。目標(biāo)計(jì)算機(jī)會(huì)不時(shí)地 收到他人發(fā)來的騷擾信息，嚴(yán)重影響正常使用。解決方法:首先打開注冊表編輯器。對于系統(tǒng)服務(wù)來說，我們可以通過注冊表 中“ HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServices”項(xiàng)下的各個(gè)選項(xiàng)來進(jìn)行管理，其中的每個(gè)子鍵就是系統(tǒng)中對應(yīng)的“服 務(wù)”，女口“ Messe nger”服務(wù)對應(yīng)的子鍵是“ Messe nger”。我們只要找到 Messe nge 項(xiàng)下

3、的START鍵值，將該值修改為4即可。這樣該服務(wù)就會(huì)被禁用，用戶就再也不 會(huì)受到“信”騷擾了。2. 關(guān)閉“遠(yuǎn)程注冊表服務(wù)”安全隱患:如果黑客連接到了我們的計(jì)算機(jī)，而且計(jì)算機(jī)啟用了遠(yuǎn)程注冊表服 務(wù)(Remote Registry)，那么黑客就可遠(yuǎn)程設(shè)置注冊表中的服務(wù)，因此遠(yuǎn)程注冊表 服務(wù)需要特別保護(hù)。解決方法:我們可將遠(yuǎn)程注冊表服務(wù)(Remote Registry)的啟動(dòng)方式設(shè)置為禁 用。不過，黑客在入侵我們的計(jì)算機(jī)后，仍然可以通過簡單的操作將該服務(wù)從“禁 用”轉(zhuǎn)換為“自動(dòng)啟動(dòng)”。因此我們有必要將該服務(wù)刪除。找到注冊表中“ HKEY_LOCAL_MACHINESYSTEMCurre ntCon

4、trolSetServices 下的RemoteRegistry項(xiàng)，右鍵點(diǎn)擊該項(xiàng)選擇“刪除 （圖1），將 該項(xiàng)刪除后就無法啟動(dòng)該服務(wù)了。文件 溝器曰 壹君 腋蘿夬 站殆切+*+丄+*+酣業(yè)池加丫dS*r*we S_J 扣f酣F Avrli ChU Md _I 3*啊電暫Fhl_J Sve m4* rJ $*t E，耐Hkf 4n,!閔 Cl* wT 唇*叭 LfAtnaMH a謳Jmd LrKiH(fttf*h起iTQFHSlLi.ii. _旳血舉JI OPJtPiimopc葉進(jìn)酬詡Cl FfectTi 1 眥出 t 如mJ1-JJ mJW5 9i cXaYiarfrw-iaLi- bU U7

5、. 密碼填寫不能自動(dòng)化安全隱患:使用Windows系統(tǒng)沖浪時(shí)，常會(huì)遇到密碼信息被系統(tǒng)自動(dòng)記錄的情 況，以后重新訪問時(shí)系統(tǒng)會(huì)自動(dòng)填寫密碼。這樣很容易造成自己的隱私信息外泄。解決方法:在“ HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies ”分支中找到network 子項(xiàng)（如果沒有可自行添加），在該子項(xiàng)下建立一個(gè)新的雙字節(jié)值，名稱為 disablepasswordcach ing ，并將該值設(shè)置為1。重新啟動(dòng)計(jì)算機(jī)后，操作系統(tǒng)就不 會(huì)自作聰明地記錄密碼了。8. 禁止病毒啟動(dòng)服務(wù)安全隱患:現(xiàn)在的病毒很聰明，不像以前只會(huì)通

6、過注冊表的 RUN直或MSCONFIG 中的項(xiàng)目進(jìn)行加載。一些高級病毒會(huì)通過系統(tǒng)服務(wù)進(jìn)行加載。那么，我們能不能使 病毒或木馬沒有啟動(dòng)服務(wù)的相應(yīng)權(quán)限呢 ？解決方法:運(yùn)行“ regedt32 ”指令啟用帶權(quán)限分配功能的注冊表編輯器。在注 冊表中找到“ HKEY_LOAL_MACHINESYSTEMCurrentControlSetServices分支，接著點(diǎn)擊菜單欄中的“安全-權(quán)限”，在彈出的 Services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將 Everyone賬號(hào)導(dǎo)入進(jìn)來，然后選中“ Everyone”賬號(hào)，將該賬號(hào)的“讀取”權(quán)限設(shè) 置為“允許”，將它的“完全控制”權(quán)限取消（圖3）。現(xiàn)在任何木馬

7、或病毒都無法自行啟動(dòng)系統(tǒng)服務(wù)了。當(dāng)然，該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。5 園 mT.cussujsrr“ J XHi.cwirus口 _|軸-_J mKTT_J fIU-KI“ J “E沖】5電豹W _J CorrlatT*亡切2山* In* J Etrrs eti_| 匕蘆_J 1*嵌啊貳I* J Ute i Ik9. 不準(zhǔn)病毒自行啟動(dòng)安全隱患:很多病毒都是通過注冊表中的 RUN直進(jìn)行加載而實(shí)現(xiàn)隨操作系統(tǒng)的 啟動(dòng)而啟動(dòng)的，我們可以按照“禁止病毒啟動(dòng)服務(wù)”中介紹的方法將病毒和木馬對 該鍵值的修改權(quán)限去掉。解決方法:運(yùn)行“ regedt32 ”指令啟動(dòng)注冊表編輯器。找到注冊表中的“ HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN” 分支，將 Everyone 對該分支 的“讀取”權(quán)限設(shè)置為“允許”，取消對“完全控制”權(quán)限的選擇。這樣病毒和木 馬就無法通過該鍵值啟動(dòng)自身了。病毒和