用注册表为操作系统砌九堵安全墙

编号：时间：2021年X月X日书山有路勤为径，学海无涯苦作舟 页码：第1页共6页用注册表为操作系统砌九堵安全“墙”用注册表为操作系统砌九堵安全“墙”(1)众所周知，操作系统的注册表是一个藏龙卧虎的地方，所有系统设置都可以在 注册表中找到踪影，所有的程序启动方式和服务启动类型都可通过注册表中的小小 键值来控制。然而，正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马 常常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康的操作系统。如何才能 有效地防范病毒和木马的侵袭，保证系统的正常运行呢?今天笔者将从服务、默认设 置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。特别提示:在进行修改之前，一定要备份原有注册表。1 .拒绝“信”骚扰安全隐患：在Windows 2000/XP系统中，默认Messenger服务处于启动状态， 不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地 收到他人发来的骚扰信息，严重影响正常使用。解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表 中 UHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”项下的各个选项来进行管理，其中的每个子键就是系统中对应的“服务”， 如Messenger”服务对应的子键是“Messenger。我们只要找到Messenger项下 的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受 到“信”骚扰了。2 .关闭“远程注册表服务”安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服 务(Remote Registry),那么黑客就可远程设置注册表中的服务，因此远程注册表服 务需要特别保护。解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁 用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁 用”转换为“自动启动”。因此我们有必要将该服务删除。找到注册表中“HKEY_L0CAL_NfACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry项，右键点击该项选择“删除（图1）,将 该项删除后就无法启动该服务了。第7页共6页文伟。编辑 查看 收夹I有aQI）+ 二 kwdbookResiotAccess另二Rksanij 展开t _1 即 cL” a 口 KpcSs 的二|KS VP* Ss查找Q）晦Q)重命名激田口 SCwdl1 Dscwds 既复)4 2l SchedT 蝌02 -1 cd AVTAYk当毓4 jUependOnService jDeseriptidn 测肌印laNse no ErrorContrd.FailureXc lionsInageTath 国 ObjecMae 震jStart 阈 Type在删除之前，定要将该项信息导出并保存。想使用该服务时，只要将己保存 的注册表文件导入即可。3 .请走“默认共享”安全隐患：大家都知道在Windows 2000/XP/2003中，系统默认开启了一些“共 享”，它们是IPC$、c$、d$、0$和&面5$。很多黑客和病毒都是通过这个默认共享 入侵操作系统的。解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的Restrict Anonymous项设置为1”,这样就可以禁止$的连接。对于c$、（1$和admin$等类型的默认共享则需要在注册表中找到HKEYLOCALMACHINESYSTEMCurrentControlSetServicesLanmanServer Parameters”项。如果系统为 Windows 2000 Server 或 Windows 2003 则 要在该项中添加键值“AutoShareServer（类型为 “REG_DW0RD”，值为 “0”）。如果系统为 Windows 2000 PRO, 则应在该项中添加键值“AutoShareWks”（类型为 wREG_DW0RDw ,值为 “0”）。4 .严禁系统隐私泄露安全隐患：在Windows系统运行出错的时候，系统内部有个DR. WATSON程序 会自动将系统调用的隐私信息保存下来。隐私信息将保存在user, dmp和 drwtsn32.bg文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此 我们要阻止该程序将信息泄露出去。解决方法:找到“ HKEY_LOACL_NfACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug,将 AUTO 键值设置为 0,现在 DR. WATSOM 就不会记录系统运行时的出错信息了。同时，依次点击Documents and Settings_*ALL Users-Documents drwatson”,找到user, dmp和drwtsn32. log文件并删除。删除这两个 文件的目的是将DR. WATSON以前保存的隐私信息删除。提示:如果已经禁止了 DR. WATSON程序的运行，则不会找到“drwatson”文件 夹以及user, dmp和drwtsn32. log这两个文件。用注册表为操作系统砌九堵安全“墙”（2）5 .拒绝ActiveX控件的恶意骚扰安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来 私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们 应该阻止ActiveX控件私自运行程序。解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行 程序的,所以我们可以先删除system32”目录下的wshom. ocx文件，这样ActiveX 控件就不能调用Windows scripting host 了。然后，在注册表中找到 “ HKEY.LOCAL.MACHINESOFTWARE ClassesCLSID（F935DC22-1CF0-11D0-ADB9-00C04FD58A0B，将该项删除。通过以上操作，ActiveX控件就再也无法私自调用脚本程序了。6 .防止页面文件泄密安全隐患:Windows 2000的页面交换文件也和上文提到的DR. WATSON程序一样 经常成为黑客攻击的对象，因为页面文件有可能泄露一些原本在内存中后来却转到 硬盘中的信息。毕竟黑客不太容易查看内存中的信息，而硬盘中的信息则极易被获 取。解决方法:找到“ HKEY_LOCAL_NfACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management ”，将其卜的 ClearPageFileAtShutdown项目的值设置为1（图2）。这样，每当重新启动后，系统都会将页面文 件删除，从而有效防止信息外泄。生SftiNri. S.car.?”Smr$化gzriiWr。匕&n_J gy* A1U.U4MrviCw*r4-MCJ S,BArrgr41r夕-J SwietFr*1 4ef-.CJetx?.Uf CoZro ；Jg，,J Kwtrt Fr“kiLJ LaNKDtZtt-Vhvng4.vnjl_| Uunutnctt2 O U4ir.口 4tScrriee的双眼Kvry的咬总4)|君的) |哂0)|尢咨 非拈浣全次射 次事 国函*第 自 野械评城都2青，酒制击-fcM . 菽b9 .不准病毒自行启动安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的 启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对 该键值的修改权限去掉。解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“ HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN” 分支，将 Everyone 对该分支的 “读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马 就无法通过该键值启动自身了。病毒和木马是不断“发展”的，我们也要不断学习新的防护知识，才能抵御病 毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提前做好防御工作， 修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的小情，“防患于 未然”才是我们应该追求的。