用注冊表為操作系統(tǒng)砌九堵安全墻

1、.：.；用注冊表為操作系統(tǒng)砌九堵平安“墻用注冊表為操作系統(tǒng)砌九堵平安“墻1 眾所周知，操作系統(tǒng)的注冊表是一個藏龍臥虎的地方，一切系統(tǒng)設(shè)置都可以在注冊表中找到蹤影，一切的程序啟動方式和效力啟動類型都可經(jīng)過注冊表中的小小鍵值來控制。 然而，正由于注冊表的強(qiáng)大使得它也成為了一個藏污納垢的地方。病毒和木馬經(jīng)常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，要挾著本來安康的操作系統(tǒng)。如何才干有效地防備病毒和木馬的侵襲，保證系統(tǒng)的正常運(yùn)轉(zhuǎn)呢?今天筆者將從效力、默許設(shè)置、權(quán)限分配等九個方面入手為大家引見如何經(jīng)過注冊表打造一個平安的系統(tǒng)。 特別提示:在進(jìn)展修正之前，一定要備份原有注冊表。 1.回絕“信騷擾 平安隱患:在Wi

2、ndows 2000/XP系統(tǒng)中，默許Messenger效力處于啟動形狀，不懷好意者可經(jīng)過“net send指令向目的計算機(jī)發(fā)送信息。目的計算時機(jī)不時地收到他人發(fā)來的騷擾信息，嚴(yán)重影響正常運(yùn)用。 處理方法:首先翻開注冊表編輯器。對于系統(tǒng)效力來說，我們可以經(jīng)過注冊表中“HKEY_LOCAL_MACHI NESYSTEMCurrentControlSetService s項下的各個選項來進(jìn)展管理，其中的每個子鍵就是系統(tǒng)中對應(yīng)的“效力，如“Messenger效力對應(yīng)的子鍵是“Messenger。我們只需找到Messenger項下的START鍵值，將該值修正為4即可。這樣該效力就會被禁用，用戶就再也不

3、會遭到“信騷擾了。 2.封鎖“遠(yuǎn)程注冊表效力 平安隱患:假設(shè)黑客銜接到了我們的計算機(jī)，而且計算機(jī)啟用了遠(yuǎn)程注冊表效力(Remote Registry)，那么黑客就可遠(yuǎn)程設(shè)置注冊表中的效力，因此遠(yuǎn)程注冊表效力需求特別維護(hù)。 處理方法:我們可將遠(yuǎn)程注冊表效力(Remote Registry)的啟動方式設(shè)置為禁用。不過，黑客在入侵我們的計算機(jī)后，依然可以經(jīng)過簡單的操作將該效力從“禁用轉(zhuǎn)換為“自動啟動。因此我們有必要將該效力刪除。 找到注冊表中“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet Services下的RemoteRegistry項，右鍵點擊該項選擇“刪

4、除(圖1)，將該項刪除后就無法啟動該效力了。 在刪除之前，一定要將該項信息導(dǎo)出并保管。想運(yùn)用該效力時，只需將已保管的注冊表文件導(dǎo)入即可。 3.請走“默許共享 平安隱患:大家都知道在Windows 2000/XP/2003中，系統(tǒng)默許開啟了一些“共享，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是經(jīng)過這個默許共享入侵操作系統(tǒng)的。 處理方法:要防備IPC$攻擊應(yīng)該將注冊表中“HKEY_LOCAL_MACHI NESYSTEMCurrentControlSetControl LSA的RestrictAnonymous項設(shè)置為“1，這樣就可以制止IPC$的銜接。 對于c$、d$和a

5、dmin$等類型的默許共享那么需求在注冊表中找到“HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanmanServ erParameters項。假設(shè)系統(tǒng)為Windows 2000 Server或Windows 2003，那么要在該項中添加鍵值“AutoShareServ er(類型為“REG_DWORD，值為“0)。假設(shè)系統(tǒng)為Windows 2000 PRO，那么應(yīng)在該項中添加鍵值“AutoSh areWks(類型為“REG_DWORD，值為“0)。 4.嚴(yán)禁系統(tǒng)隱私泄露 平安隱患:在Windows系統(tǒng)運(yùn)轉(zhuǎn)出錯的時候，系統(tǒng)內(nèi)部有一個DR.

6、WATSON程序會自動將系統(tǒng)調(diào)用的隱私信息保管下來。隱私信息將保管在user.dmp和drwtsn32.log文件中。攻擊者可以經(jīng)過破解這個程序而了解系統(tǒng)的隱私信息。因此我們要阻止該程序?qū)⑿畔⑿癸@露去。 處理方法:找到“HKEY_LOACL_ MACHINESOFTWAREMicrosoftWin dows NT CurrentVersionAeDebug，將AUTO鍵值設(shè)置為0，如今DR.WATSON就不會記錄系統(tǒng)運(yùn)轉(zhuǎn)時的出錯信息了。同時，依次點擊“Docume nts and SettingsALL UsersDocum entsdrwatson，找到user.dmp和drwtsn32.l

7、og文件并刪除。刪除這兩個文件的目的是將DR.WATSON以前保管的隱私信息刪除。 提示:假設(shè)曾經(jīng)制止了DR.WATSON程序的運(yùn)轉(zhuǎn)，那么不會找到“drwatson文件夾以及user.dmp和drwtsn32.log這兩個文件。用注冊表為操作系統(tǒng)砌九堵平安“墻2 5.回絕ActiveX控件的惡意騷擾 平安隱患:不少木馬和病毒都是經(jīng)過在網(wǎng)頁中隱藏惡意ActiveX控件的方法來私自運(yùn)轉(zhuǎn)系統(tǒng)中的程序，從而到達(dá)破壞本地系統(tǒng)的目的。為了保證系統(tǒng)平安，我們應(yīng)該阻止ActiveX控件私自運(yùn)轉(zhuǎn)程序。 處理方法:ActiveX控件是經(jīng)過調(diào)用Windows scripting host組件的方式運(yùn)轉(zhuǎn)程序的，所以我

8、們可以先刪除“system32目錄下的wshom.ocx文件，這樣ActiveX控件就不能調(diào)用Windows scripting host了。然后，在注冊表中找到“HKEY_LOCAL_MACHINES OFTWARE ClassesCLSIDF935DC2 2-1CF0-11D0-ADB9-00C04FD58A0B ，將該項刪除。經(jīng)過以上操作，ActiveX控件就再也無法私自調(diào)用腳本程序了。 6.防止頁面文件泄密 平安隱患:Windows 2000的頁面交換文件也和上文提到的DR.WATSON程序一樣經(jīng)常成為黑客攻擊的對象，由于頁面文件有能夠泄露一些本來在內(nèi)存中后來卻轉(zhuǎn)到硬盤中的信息。畢竟黑

9、客不太容易查看內(nèi)存中的信息，而硬盤中的信息那么極易被獲取。 處理方法:找到“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSet ControlSession ManagerMemory Man agement，將其下的ClearPageFileAtSh utdown工程的值設(shè)置為1(圖2)。這樣，每當(dāng)重新啟動后，系統(tǒng)都會將頁面文件刪除，從而有效防止信息外泄。 7.密碼填寫不能自動化 平安隱患:運(yùn)用Windows系統(tǒng)沖浪時，常會遇到密碼信息被系統(tǒng)自動記錄的情況，以后重新訪問時系統(tǒng)會自動填寫密碼。這樣很容易呵斥本人的隱私信息外泄。 處理方法:在“HKEY_LOCA

10、L_MACHINESOFTWA REMicrosoftWindowsCurrentVersionpolicies分支中找到network子項(假設(shè)沒有可自行添加)，在該子項下建立一個新的雙字節(jié)值，稱號為disablepasswordcaching，并將該值設(shè)置為1。重新啟動計算機(jī)后，操作系統(tǒng)就不會自作聰明地記錄密碼了。 8.制止病毒啟動效力 平安隱患:如今的病毒很聰明，不像以前只會經(jīng)過注冊表的RUN值或MSCONFIG中的工程進(jìn)展加載。一些高級病毒會經(jīng)過系統(tǒng)效力進(jìn)展加載。那么，我們能不能使病毒或木馬沒有啟動效力的相應(yīng)權(quán)限呢? 處理方法:運(yùn)轉(zhuǎn)“regedt32指令啟用帶權(quán)限分配功能的注冊表編輯器

11、。在注冊表中找到“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices分支，接著點擊菜單欄中的“平安權(quán)限，在彈出的Services權(quán)限設(shè)置窗口中單擊“添加按鈕，將Everyone賬號導(dǎo)入進(jìn)來，然后選中“Everyone賬號，將該賬號的“讀取權(quán)限設(shè)置為“允許，將它的“完全控制權(quán)限取消(圖3)。如今任何木馬或病毒都無法自行啟動系統(tǒng)效力了。當(dāng)然，該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。 9.不準(zhǔn)病毒自行啟動 平安隱患:很多病毒都是經(jīng)過注冊表中的RUN值進(jìn)展加載而實現(xiàn)隨操作系統(tǒng)的啟動而啟動的，我們可以按照“制止病毒啟動效力中引見的方法將病毒和木馬對該鍵值的修正權(quán)限去掉。 處理方法:運(yùn)轉(zhuǎn)“regedt32指令啟動注冊表編輯器。找到注冊表中的“HKEY_CURRENT_MACHINESO FTWAREMicrosoftWindowsCurrentVersionRUN分支，