论坛登陆 用户: 密码:
联系我们
设为首页
加入收藏
业界新闻 网络编程 程序开发 网页图象 聊天通讯 软件应用 网络安全 硬件学堂 教育频道 站长club
  ·推荐新闻
 
·美前任官员认为amd告倒英特
·搜索引擎关键字排行简介
·网站优化教程(一)
·msn近期遭受木马病毒骚扰 用
·用qq管理你的系统^_^ 
·测评中心金山毒霸联合发布7
·qq群聊实名 普通用户不受影
·雅虎思科联手推数字邮件签名
·这18条背下来没人敢和你忽悠
·自己动手,拯救丢失的硬盘数
  ·资料搜索
 
  ·相关文章
·注册表趣味应用小集
·独门绝技修改注册表
·windows98注册表使用技巧27则
·修改及备份注册表的基本方法
·深度解析注册表修复不成功的原
·二十九、教你备份与恢复window
·三十四、 win2000注册表应用九
·win2k/xp注册表终极备份与恢复
·提高系统安全的注册表修改秘籍
·注册表清理工jv16 powertools发
  ·热门新闻
首页>>软件应用>>注册表>>文章正文

教你怎么用注册表为操作系统砌九堵安全墙
 日期:2005-7-13 10:37:18     来源:易特网络技术   编辑:黑鹰  点击:
众所周知,操作系统的注册表是一个藏龙卧虎的地方,所有系统设置都可以在注册表中找到踪影,所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。
  然而,正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。
  特别提示:在进行修改之前,一定要备份原有注册表。
  1.拒绝“信”骚扰
  安全隐患:在windows 2000/xp系统中,默认messenger服务处于启动状态,不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。
  解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中“hkey_local_machi
  ne\system\currentcontrolset\service
  s”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“messenger”服务对应的子键是 “messenger”。我们只要找到messenger项下的start键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。
  2.关闭“远程注册表服务”
  安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(remote registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。
  解决方法:我们可将远程注册表服务(remote registry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。
  找到注册表中“hkey_local_
  machine\system\currentcontrolset
  \services”下的remoteregistry项,右键点击该项选择“删除”(图1),将该项删除后就无法启动该服务了。
click to open in new window

  在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。
  3.请走“默认共享”
  安全隐患:大家都知道在windows 2000/xp/2003中,系统默认开启了一些“共享”,它们是ipc$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。
  解决方法:要防范ipc$攻击应该将注册表中“hkey_local_machi
  ne\system\currentcontrolset\control
  \lsa”的restrictanonymous项设置为“1”,这样就可以禁止ipc$的连接。
  对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“hkey_local_machine\system\
  currentcontrolset\services\lanmanserv
  er\parameters”项。如果系统为windows 2000 server或windows 2003,则要在该项中添加键值“autoshareserv
  er”(类型为“reg_dword”,值为“0”)。如果系统为windows 2000 pro,则应在该项中添加键值“autosh
  arewks”(类型为“reg_dword”,值为“0”)。
  4.严禁系统隐私泄露
  安全隐患:在windows系统运行出错的时候,系统内部有一个dr.watson程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
  解决方法:找到“hkey_loacl_
  machine\software\microsoft\win
  dows nt\ currentversion\aedebug”,将auto键值设置为0,现在dr.watson就不会记录系统运行时的出错信息了。同时,依次点击“docume
  nts and settings→all users→docum
  ents→drwatson”,找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将dr.watson以前保存的隐私信息删除。
  提示:如果已经禁止了dr.watson程序的运行,则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。
  5.拒绝activex控件的恶意骚扰
  安全隐患:不少木马和病毒都是通过在网页中隐藏恶意activex控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止activex控件私自运行程序。
  解决方法:activex控件是通过调用windows scripting host组件的方式运行程序的,所以我们可以先删除“system32”目录下的wshom.ocx文件,这样activex控件就不能调用 windows scripting host了。然后,在注册表中找到“hkey_local_machine\s
  oftware\ classes\clsid\{f935dc2
  2-1cf0-11d0-adb9-00c04fd58a0b
  }”,将该项删除。通过以上操作,activex控件就再也无法私自调用脚本程序了。
  6.防止页面文件泄密
  安全隐患:windows 2000的页面交换文件也和上文提到的dr.watson程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。
  解决方法:找到“hkey_local_
  machine\system\currentcontrolset
  \control\session manager\memory man
  agement”,将其下的clearpagefileatsh
  utdown项目的值设置为1(图2)。这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。
click to open in new window

  7.密码填写不能自动化
  安全隐患:使用windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。
  解决方法:在“hkey_local_machine\softwa
  re\microsoft\windows\currentversion\policies”分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。
  8.禁止病毒启动服务
  安全隐患:现在的病毒很聪明,不像以前只会通过注册表的run值或msconfig中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?
  解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“hkey_local_
  machine\system\currentcontrolset\services”分支,接着点击菜单栏中的“安全→权限”,在弹出的 services权限设置窗口中单击“添加”按钮,将everyone账号导入进来,然后选中“everyone”账号,将该账号的“读取”权限设置为 “允许”,将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。
click to open in new window

  9.不准病毒自行启动
  安全隐患:很多病毒都是通过注册表中的run值进行加载而实现随操作系统的启动而启动的,我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。
  解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“hkey_current_machine\so
  ftware\microsoft\windows\currentversion\run”分支,将everyone对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。
  病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。
上一篇:修改注册表挖掘ie的潜力
下一篇:注册表恢复基本方法
[发送给好友] [打印本页] [关闭窗口] [返回顶部转载请注明来源:http://www.iyit.net
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
责任编辑: 黑鹰 投稿作者: 易特网络
信息来源: 易特网络技术 录入时间: 2005-7-13 10:37:18
浏览次数: 投稿信箱: shtghy@163.com
设置首页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接
copyrights ©2004-2005 iyit.net all rights reserved. 网站合作、广告联系qq:147007642、466949678
易特网络技术 点击这里给我发消息