實(shí)訓(xùn)2-5修改注冊(cè)表實(shí)現(xiàn)網(wǎng)絡(luò)安全

1、第2章 操作系統(tǒng)平安 實(shí)訓(xùn)2-5：修正注冊(cè)表實(shí)現(xiàn)網(wǎng)絡(luò)平安學(xué)時(shí) .本次課要點(diǎn)學(xué)習(xí)目的重點(diǎn)難點(diǎn).實(shí)訓(xùn)目的了解注冊(cè)表的作用掌握注冊(cè)表的配置方法掌握經(jīng)過(guò)修正注冊(cè)表防止部分潛在要挾.實(shí)訓(xùn)背景 計(jì)算機(jī)上一切針對(duì)硬件、軟件、網(wǎng)絡(luò)的操作都是源于注冊(cè)表的。由于注冊(cè)表是操作系統(tǒng)中心，因此一旦Windows注冊(cè)表?yè)p壞或被病的惡意修正，那么會(huì)呵斥文件不能翻開，某些功能操作不能進(jìn)展。而且不少流行的網(wǎng)絡(luò)病毒一旦啟動(dòng)后，會(huì)自動(dòng)在計(jì)算機(jī)系統(tǒng)的注冊(cè)表啟動(dòng)項(xiàng)中遺留有修復(fù)選項(xiàng)，待系統(tǒng)重新啟動(dòng)后這些病毒就能恢復(fù)到修正前的形狀了，很難被根本去除。 為了保證效力器可以正常運(yùn)轉(zhuǎn)，網(wǎng)絡(luò)管理員需求對(duì)效力器的注冊(cè)表進(jìn)展配置，阻止黑客經(jīng)過(guò)注冊(cè)表的

2、破綻進(jìn)展網(wǎng)絡(luò)攻擊。.實(shí)訓(xùn)設(shè)備設(shè)備數(shù)量服務(wù)器（安裝windows2000/2003操作系統(tǒng)）1臺(tái).實(shí)訓(xùn)步驟1.在運(yùn)轉(zhuǎn)窗口中輸入regdit命令2.單擊 按鈕，進(jìn)入“注冊(cè)表編輯器窗口3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏4.防止SYN洪水攻擊5.制止呼應(yīng)ICMP路由通告報(bào)文6.防止ICMP重定向報(bào)文的攻擊7.不支持IGMP協(xié)議8.制止IPC空銜接9.更改TTL值10.刪除默許共享.1.在運(yùn)轉(zhuǎn)窗口中輸入regdit命令.1.在運(yùn)轉(zhuǎn)窗口中輸入regdit命令在運(yùn)轉(zhuǎn)窗口中輸入regdit命令，如所示。.2.單擊 按鈕，進(jìn)入“注冊(cè)表編輯器窗口.2.單擊 按鈕，進(jìn)入“注冊(cè)表編輯器窗口單擊 按鈕，進(jìn)

3、入“注冊(cè)表編輯器窗口，如所示。.3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏.3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏1選擇下面注冊(cè)表項(xiàng)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL2修正注冊(cè)表值CheckedValue注冊(cè)表值的數(shù)據(jù)值名類型數(shù)據(jù)CheckedValueDWORD0CheckedValue注冊(cè)表值的數(shù)據(jù).3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏3測(cè)試配置修正后在系統(tǒng)中將恣意一個(gè)文件設(shè)置為隱藏文件，刷新之后該文件不會(huì)顯示

4、。選擇“我的電腦中的【工具】【文件夾選項(xiàng)】菜單，在翻開的窗口中選擇“查看標(biāo)簽，選擇 ，如所示，單擊 按鈕封鎖窗口。.3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏隱藏文件依然不會(huì)顯示，重新進(jìn)入“文件夾選項(xiàng)窗口，選擇“查看標(biāo)簽，如所示，會(huì)發(fā)現(xiàn)設(shè)置沒有生效。.3.隱藏重要文件/目錄可以修正注冊(cè)表實(shí)現(xiàn)完全隱藏4修正注冊(cè)表值CheckedValue注冊(cè)表值的數(shù)據(jù)再次進(jìn)入“文件夾選項(xiàng)窗口，進(jìn)展設(shè)置便可以看到C盤下的系統(tǒng)文件和隱藏文件。值名類型數(shù)據(jù)CheckedValueDWORD1.4.防止SYN洪水攻擊.4.防止SYN洪水攻擊1選擇下面注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurr

5、entControlSetServicesTcpipParameters2新建注冊(cè)表值 SynAttackProtect 注冊(cè)表值的數(shù)據(jù)值名類型數(shù)據(jù)SynAttackProtectDWORD2EnablePMTUDiscoveryREG_DWORD 0NoNameReleaseOnDemandREG_DWORD 1EnableDeadGWDetect REG_DWORD0KeepAliveTime REG_DWORD 300000PerformRouterDiscovery REG_DWORD0EnableICMPRedirects REG_DWORD 0.4.防止SYN洪水攻擊3闡明 SYN

6、攻擊維護(hù)包括減少SYN-ACK重新傳輸次數(shù)，以減少分配資源所保管的時(shí)間。路由緩存項(xiàng)資源分配延遲，直到建立銜接為止，假設(shè)synattackprotect=2,，那么AFD的銜接指示不斷延遲到三路握手完成為止。留意，僅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí)，維護(hù)機(jī)制才會(huì)采取措施。.5.制止呼應(yīng)ICMP路由通告報(bào)文.5.制止呼應(yīng)ICMP路由通告報(bào)文1選擇下面注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface2新建注冊(cè)表值Perf

7、ormRouterDiscovery注冊(cè)表值的數(shù)據(jù)值名類型數(shù)據(jù)PerformRouterDiscoveryDWORD0.5.制止呼應(yīng)ICMP路由通告報(bào)文3闡明 該功能可呵斥他人計(jì)算機(jī)的網(wǎng)絡(luò)銜接異常，數(shù)據(jù)被竊聽，計(jì)算機(jī)被用于流量攻擊等嚴(yán)重后果。此問題曾導(dǎo)致校園網(wǎng)某些局域網(wǎng)大面積，長(zhǎng)時(shí)間的網(wǎng)絡(luò)異常，因此建議封鎖呼應(yīng)ICMP路由通告報(bào)文。Win2000中默許值為2，表示當(dāng)DHCP發(fā)送路由器發(fā)現(xiàn)選項(xiàng)時(shí)啟用。.6.防止ICMP重定向報(bào)文的攻擊.6.防止ICMP重定向報(bào)文的攻擊1選擇下面注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipPa

8、rameters2修正注冊(cè)表值“EnableICMPRedirects注冊(cè)表值的數(shù)據(jù)闡明:該參數(shù)控制Windows 2000能否會(huì)改動(dòng)其路由表以呼應(yīng)網(wǎng)絡(luò)設(shè)備(如路由器)發(fā)送給它的ICMP重定向音訊，有時(shí)會(huì)被利用來(lái)干壞事。Win2000中默許值為1，表示呼應(yīng)ICMP重定向報(bào)文。值名數(shù)據(jù)EnableICMPRedirects0.7.不支持IGMP協(xié)議.7.不支持IGMP協(xié)議1選擇下面注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters2新建注冊(cè)表值IGMPLevel注冊(cè)表值的數(shù)據(jù)闡明:記得Win9x下有個(gè)bug,就

9、是用可以用IGMP使他人藍(lán)屏,修正注冊(cè)表可以修正這個(gè)bug.Win2000雖然沒這個(gè)bug了,但I(xiàn)GMP并不是必要的,因此照樣可以去掉.改成0后用 route print將看不到那個(gè)厭惡的224.0.0.0項(xiàng)了.值名類型數(shù)據(jù)IGMPLevelDWORD0.8.制止IPC空銜接.8.制止IPC空銜接黑客可以利用net use命令建立空銜接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空銜接的，制止空銜接就好了。只需目的系統(tǒng)的TCP端口或445是翻開的，就可以正常的獲取用戶信息，雖然RestrictAnonymous能夠設(shè)置為11.封鎖端口：端口是NetBIOS Session端口，

10、用于文件和打印共享，留意的是運(yùn)轉(zhuǎn)samba的unix機(jī)器也開放了端口，功能一樣。封鎖口聽方法是在“網(wǎng)絡(luò)和撥號(hào)銜接中“本地銜接中選取“Internet協(xié)議(TCP/IP)屬性，進(jìn)入“高級(jí)TCP/IP設(shè)置“WINS設(shè)置里面有一項(xiàng)“禁用TCP/IP的NETBIOS，打勾就封鎖了端口。 .8.制止IPC空銜接2.封鎖445端口：修正注冊(cè)表，添加一個(gè)鍵值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters SMBDeviceEnabled=dword:00000000 1選擇下面注冊(cè)表項(xiàng)Local_MachineSystemC

11、urrentControlSetControlLsa.8.制止IPC空銜接2修正注冊(cè)表值 RestrictAnonymous注冊(cè)表值的數(shù)據(jù)命令“net use IPipc$ /user:就可以簡(jiǎn)單地和目的建立一個(gè)空銜接。值名數(shù)據(jù)RestrictAnonymous0.8.制止IPC空銜接3修正注冊(cè)表值 RestrictAnonymous注冊(cè)表值的數(shù)據(jù)輸入命令“net use IPipc$ /user: 不能和目的建立一個(gè)空銜接。值名數(shù)據(jù)RestrictAnonymous1.9.更改TTL值.9.更改TTL值黑客可以根據(jù)ping回的TTL值來(lái)大致判別他的操作系統(tǒng)，如表所示。操作系統(tǒng)TTL值列表TTL值系統(tǒng)TTL值系統(tǒng)TTL值系統(tǒng)107WINNT127或128win9x252solaris108win2000240或241linux240Irix.9.更改TTL值1選擇下面注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter2修正注冊(cè)表值3測(cè)試在命令窗口ping該計(jì)算機(jī)，會(huì)發(fā)現(xiàn)TTL值發(fā)生變化。值名數(shù)據(jù)DefaultTTL100.10.刪除默許共享.10.刪除默許共享有人問過(guò)我一開機(jī)就共享一切盤，改回來(lái)以后，重啟又變成了共享是怎樣回事，這是2K為管理而設(shè)置的默許共享，1測(cè)試在命令窗口下輸入