11第十一章WindowsServer2003的深層安全防護(hù)

網(wǎng)絡(luò)通信安全管理員教程

2010年1月吳辰文等編著第十一章WindowsServer2003的深層安全防護(hù)本章學(xué)習(xí)要求：了解進(jìn)程的概念；了解注冊(cè)表的概念；了解注冊(cè)表的結(jié)構(gòu)；掌握服務(wù)的優(yōu)化方法；掌握黑客經(jīng)常攻擊的端口以及防范方法；掌握關(guān)閉端口的方法；熟悉端口查看命令及工具；掌握系統(tǒng)必要進(jìn)程和非必要進(jìn)程；熟悉進(jìn)程查看命令及工具；熟悉注冊(cè)表備份、還原及修改的方法；熟悉基于進(jìn)程和注冊(cè)表的木馬查殺方法。第十一章WindowsServer2003的深層安全防護(hù)11.1WindowsServer2003服務(wù)解析11.2WindowsServer2003端口解析11.3WindowsServer2003進(jìn)程解析11.4WindowsServer2003注冊(cè)表解析11.5基于注冊(cè)表和進(jìn)程的木馬查殺技術(shù)11.1WindowsServer2003服務(wù)解析11.1.1服務(wù)的概念WindowsServer2003中有很多服務(wù)，主要由服務(wù)應(yīng)用程序、服務(wù)控制程序和服務(wù)控制管理器。服務(wù)控制管理器用來維護(hù)注冊(cè)表中的數(shù)據(jù)。服務(wù)控制程序則是控制服務(wù)應(yīng)用程序的模塊，是控制服務(wù)程序同服務(wù)管理器之間的紐帶。服務(wù)應(yīng)用程序是服務(wù)程序的主體程序，是一個(gè)或多個(gè)的可執(zhí)行代碼。11.1.2服務(wù)的優(yōu)化WindowsServer2003服務(wù)的優(yōu)化主要有兩個(gè)方面，改變服務(wù)的啟動(dòng)順序和禁用不必要的服務(wù)。改變服務(wù)的啟動(dòng)順序WindowsServer2003服務(wù)的啟動(dòng)順序可以通過注冊(cè)表來實(shí)現(xiàn)下面介紹兩個(gè)與啟動(dòng)服務(wù)順序相關(guān)的鍵值：（1）Group值：一個(gè)REG_SZ類型的值，用來描述服務(wù)屬于哪一個(gè)服務(wù)組。（2）Tag值：一個(gè)REG_DWORD類型的值。用來描述服務(wù)的標(biāo)識(shí)。打開注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServicesGroupOrder鍵的List值，這里保存了表示服務(wù)組啟動(dòng)順序的信息，每一個(gè)服務(wù)組都是一個(gè)字符串，要想改變他們的啟動(dòng)順序，只要改變他們位置就可以了。如圖11-1所示。。圖11-1改變服務(wù)組界面打開注冊(cè)表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOr-derList鍵下有各服務(wù)組中各服務(wù)的啟動(dòng)順序的信息，每個(gè)服務(wù)組的信息都被保存為一個(gè)REG_BINARY類型的值，如FSFilterSystem服務(wù)組，要想改變它們的加載順序，只需編輯這個(gè)二進(jìn)制字符串即可，如圖11-2所示。圖11-2改變組內(nèi)加載順序禁用不必要的服務(wù)在介紹系統(tǒng)不必要的服務(wù)之前，首先介紹如何查看服務(wù)的依存服務(wù)（至于服務(wù)的禁用、啟動(dòng)和重新啟動(dòng)，在第10章已作介紹，這里不再重復(fù)），具體操作是：首先打開“服務(wù)”窗口，選中想要修改的服務(wù)，右鍵單擊，選擇“屬性”命令，在彈出的界面上選擇“依存關(guān)系”選項(xiàng)卡，這里以COM+EventSystem為例，如圖11-3所示。圖11-3依存關(guān)系界面下面來介紹幾個(gè)可以關(guān)閉的服務(wù)。檢查不用的硬件。關(guān)閉Windows“主題。關(guān)閉警報(bào)服務(wù)。關(guān)閉防火墻。禁用遠(yuǎn)程注冊(cè)。禁用Windows幫助。11.2WindowsServer2003端口解析11.2.1端口的概念Windows中的端口是指TCP/IP協(xié)議中的端口，范圍是從0到65535。端口可以認(rèn)為是一個(gè)隊(duì)列，操作系統(tǒng)為各個(gè)進(jìn)程分配了不同的隊(duì)列，數(shù)據(jù)包按照目的端口被列入相應(yīng)的隊(duì)列中，等待被進(jìn)程調(diào)用，在特殊的情況下，這個(gè)隊(duì)列有可能溢出，不過操作系統(tǒng)允許每個(gè)進(jìn)程指定和調(diào)整自己隊(duì)列的大小。不是只有接收數(shù)據(jù)包的進(jìn)程需要開啟它自己的端口，發(fā)送數(shù)據(jù)包的進(jìn)程也需要開啟端口，這樣，數(shù)據(jù)包中將會(huì)標(biāo)識(shí)出源端口，以便接收方能順利的回傳數(shù)據(jù)包到這個(gè)端口。11.2.2端口的分類端口分類有兩種分法：（1）按端口號(hào)可分為3大類：公認(rèn)端口（熟知端口）：0~1023，它們專門為一些應(yīng)用程序提供服務(wù)。注冊(cè)端口：1024~49151，它們隨機(jī)的為應(yīng)用程序提供服務(wù)，許多服務(wù)綁定于這些端口，這些端口同樣可以用于其它目的。動(dòng)態(tài)和/或私有端口：從49152到65535，實(shí)際上，機(jī)器通常從1024起分配動(dòng)態(tài)端口。（2）按對(duì)應(yīng)的協(xié)議類型端口有兩種：TCP端口和UDP端口。由于TCP和UDP兩個(gè)協(xié)議是獨(dú)立的，因此各自的端口號(hào)也相互獨(dú)立，比如TCP有110端口，UDP也可以有110端口，兩者并不沖突。（4）端口：23服務(wù)：Telnet說明：遠(yuǎn)程登錄，入侵者可以搜索遠(yuǎn)程登錄UNIX的服務(wù)。（5）端口：25服務(wù)：SMTP說明：SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。（6）端口：80服務(wù)：HTTP說明：用于網(wǎng)頁瀏覽。木馬Executor開放此端口。（7）端口：102服務(wù)：Messagetransferagent（MTA）-X.400overTCP/IP說明：消息傳輸代理。（8）端口：110服務(wù)：PostOfficeProtocol-Version3說明：POP3服務(wù)器開放此端口，用于接收郵件，客戶端訪問服務(wù)器端的郵件服務(wù)。（9）端口：111服務(wù)：SUN公司的RPC服務(wù)中所包含的各種服務(wù)的端口說明：常見RPC服務(wù)有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等（10）端口：119服務(wù)：NetworkNewsTransferProtocol說明：NEWS新聞組傳輸協(xié)議，承載USENET通信。（11）端口：135服務(wù)：LocationService說明：Microsoft在這個(gè)端口運(yùn)行DCERPCend-pointmapper為它的DCOM服務(wù)。（12）端口：137、138、139服務(wù)：NETBIOSNameService說明：其中137、138是UDP端口，當(dāng)通過網(wǎng)上鄰居傳輸文件時(shí)用這個(gè)端口。（13）端口：161服務(wù)：SNMP說明：SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行的信息都儲(chǔ)存在數(shù)據(jù)庫中，通過SNMP可獲得這些信息（14）端口：177服務(wù)：XDisplayManagerControlProtocol說明：許多入侵者通過它訪問X-windows操作臺(tái)，它同時(shí)需要打開6000端口。（15）端口：389服務(wù)：LDAP、ILS說明：輕型目錄訪問協(xié)議和NetMeetingInternetLocatorServer共用這一端口。11.2.4端口的安全管理一般來說，查看端口的方法有兩種：一種是利用系統(tǒng)內(nèi)置的命令，一種是利用端口相關(guān)工具。下面簡(jiǎn)單介紹幾個(gè)命令、方法或工具。（1）端口重定向一種常見的技術(shù)是把一個(gè)端口重定向到另一個(gè)端口。實(shí)現(xiàn)重定向是為了隱藏公認(rèn)的默認(rèn)端口，降低受破壞率。（2）netstat-an使用該命令是查看自己所開放端口的最方便方法，可以在cmd中輸入這個(gè)命令。（3）VisualSniffer這個(gè)可以攔截網(wǎng)絡(luò)數(shù)據(jù)包，查看正在開放的各個(gè)端口。該工具界面如圖11-4所示。（4）FPORTFPort可以把本機(jī)開放的TCP/UDP端口同應(yīng)用程序關(guān)聯(lián)起來，和使用“netstat-an”命令產(chǎn)生的效果類似，但是該軟件還可以把端口和運(yùn)行著的進(jìn)程關(guān)聯(lián)起來，并可以顯示進(jìn)程PID、名稱和路徑。圖11-4VisualSniffer界面（5）ACTIVEPORT.EXE這個(gè)工具是一個(gè)用來查看本地主機(jī)開放端口的工具，除了具有上面兩個(gè)程序的全部功能外，還有兩個(gè)更大的優(yōu)點(diǎn)：圖形界面和關(guān)閉端口。（6）SUPERSCAN3.0這個(gè)工具是一個(gè)端口掃描類軟件，掃描速度快而且可以指定掃描的端口。11.3WindowsServer2003進(jìn)程解析11.3.1進(jìn)程的概念進(jìn)程是程序在計(jì)算機(jī)上的一次執(zhí)行活動(dòng)。顯然，程序是靜態(tài)的，進(jìn)程是動(dòng)態(tài)的。進(jìn)程可以分為系統(tǒng)進(jìn)程和用戶進(jìn)程。進(jìn)程是應(yīng)用程序的運(yùn)行實(shí)例，是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行。可以簡(jiǎn)單地理解為操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括：系統(tǒng)管理計(jì)算機(jī)程序、各種操作所必需的程序、用戶開啟和執(zhí)行的額外程序。危害較大的可執(zhí)行病毒是以“進(jìn)程”形式出現(xiàn)在系統(tǒng)內(nèi)部，那么及時(shí)查看并準(zhǔn)確殺掉非法進(jìn)程對(duì)于手工殺毒有起著關(guān)鍵性的作用。11.3.2基本進(jìn)程解析打開“任務(wù)管理器”，選擇“進(jìn)程”選項(xiàng)卡，就可以看到本機(jī)當(dāng)前運(yùn)行的進(jìn)程，如圖11-5所示。下面來介紹一下系統(tǒng)必要進(jìn)程：（1）Winlogon.exe（2）Explorer.exe（3）Csrss.exe（4）SystemIdle（5）Smss.exe（6）Lsass.exe（7）Services.exe（8）Spoolsv.exe圖11-5任務(wù)管理器11.3.3Svchost.exe進(jìn)程的解析Svchost.exe是一個(gè)屬于微軟Windows操作系統(tǒng)的系統(tǒng)程序，用于執(zhí)行DLL文件。這個(gè)程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要的。Svchost.exe是系統(tǒng)必不可少的一個(gè)進(jìn)程，很多服務(wù)都會(huì)用到它?？梢钥闯霭迅嗟南到y(tǒng)內(nèi)置服務(wù)以共享進(jìn)程方式由Svchost啟動(dòng)是操作系統(tǒng)發(fā)展的一個(gè)趨勢(shì)，這樣做在一定程度上減少了系統(tǒng)資源的消耗，不過也帶來一定的不穩(wěn)定因素，因?yàn)槿魏我粋€(gè)共享進(jìn)程的服務(wù)因?yàn)殄e(cuò)誤退出進(jìn)程就會(huì)導(dǎo)致整個(gè)進(jìn)程中的所有服務(wù)都退出。Svchost的原理Svchost本身只是作為服務(wù)宿主，并不實(shí)現(xiàn)任何服務(wù)功能，需要Svchost啟動(dòng)的服務(wù)以動(dòng)態(tài)鏈接庫形式實(shí)現(xiàn)，在安裝這些服務(wù)時(shí)，把服務(wù)的可執(zhí)行程序指向Svchost，啟動(dòng)這些服務(wù)時(shí)由Svchost調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫來啟動(dòng)服務(wù)。Svchost能夠知道某一服務(wù)是由哪個(gè)動(dòng)態(tài)鏈接庫負(fù)責(zé)的，這不是由服務(wù)的可執(zhí)行程序路徑中的參數(shù)提供的，而是服務(wù)在注冊(cè)表中的參數(shù)設(shè)置的，注冊(cè)表中服務(wù)下邊有一個(gè)Parameters子鍵，其中的ServiceDll表明該服務(wù)由哪個(gè)動(dòng)態(tài)鏈接庫負(fù)責(zé)。這些服務(wù)是使用共享進(jìn)程方式由Svchost啟動(dòng)的。Svchost啟動(dòng)服務(wù)的設(shè)置要通過svchost調(diào)用啟動(dòng)的服務(wù)，就一定要在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost下有該服務(wù)名，可以通過如下方式來實(shí)現(xiàn)：添加一個(gè)新的服務(wù)組，在組里添加服務(wù)名。在現(xiàn)有組里添加服務(wù)名。直接使用現(xiàn)有服務(wù)組里的一個(gè)服務(wù)名，但本機(jī)沒有安裝的服務(wù)。修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)，把它的ServiceDll指向自己。11.3.4進(jìn)程工具介紹這里介紹下Windows自帶的命令和ProcessExplorer工具。（1）Tasklist命令Tasklist命令能檢查當(dāng)前進(jìn)程的情況。使用命令tasklist/v后執(zhí)行結(jié)果如圖11-6所示。（2）ProcessExplorerProcessExplorer是比較好的進(jìn)程監(jiān)視工具，且是免費(fèi)的。它不僅可以監(jiān)視、暫停、終止進(jìn)程，還可以查看進(jìn)程調(diào)用的DLL文件，遇到不熟悉的進(jìn)程還可以直接通過google或MSN搜索。該工具的界面如圖11-7所示。圖11-6進(jìn)程使用資源界面圖11-7進(jìn)程查看器界面11.4WindowsServer2003注冊(cè)表解析11.4.1注冊(cè)表概述Windows的注冊(cè)表（Registry）實(shí)質(zhì)上是一個(gè)龐大的分層數(shù)據(jù)庫，它記錄了用戶安裝在機(jī)器上的軟件和每個(gè)程序的相互關(guān)聯(lián)關(guān)系，包含了軟、硬件的有關(guān)配置和狀態(tài)信息，應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù)。注冊(cè)表中存放著各種參數(shù)，直接控制著Windows的啟動(dòng)，在整個(gè)系統(tǒng)中起著至關(guān)重要的作用，包括：（1）軟、硬件的有關(guān)配置和狀態(tài)信息，注冊(cè)表中保存有應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù)等。（2）聯(lián)網(wǎng)計(jì)算機(jī)整個(gè)系統(tǒng)的設(shè)置和各種許可，文件擴(kuò)展名與應(yīng)用程序的關(guān)聯(lián)，硬件部件的描述、狀態(tài)和屬性。（3）性能記錄和其他底層的系統(tǒng)狀態(tài)信息，以及其他數(shù)據(jù)。注冊(cè)表的特點(diǎn)有：（1）注冊(cè)表允許對(duì)硬件、系統(tǒng)參數(shù)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序進(jìn)行跟蹤配置，這使得修改某些設(shè)置后不用重新啟動(dòng)成為可能。（2）注冊(cè)表中登錄的硬件部分?jǐn)?shù)據(jù)可以支持高版本W(wǎng)indows的即插即用特性。（3）管理人員和用戶通過注冊(cè)表可以在網(wǎng)絡(luò)上檢查系統(tǒng)的配置和設(shè)置，使得遠(yuǎn)程管理得以實(shí)現(xiàn)。11.4.2注冊(cè)表的結(jié)構(gòu)注冊(cè)表文件在Windows95/98中，注冊(cè)表由兩個(gè)文件組成：System.dat和User.dat，保存在Windows所在的文件夾中，它們是由二進(jìn)制數(shù)據(jù)組成的。在Windows2000和WindowsServer2003中的注冊(cè)表也分為兩個(gè)部分，但是包括多個(gè)文件。其中，用戶的配置文件保存在根目錄“DocumentsandSetting”下的用戶名目錄中，包括Ntuser.dat和Ntuser.dat.log文件。系統(tǒng)配置文件位于系統(tǒng)目錄下的“system32\config”中，包括Default、Software、System、Appevent.evt、Sysevent.evt等多個(gè)隱藏文件及其相應(yīng)的log文件和.sav文件。注冊(cè)表鍵和子鍵在Windows系統(tǒng)中，注冊(cè)表是采用“關(guān)鍵字”和其“鍵值”來描述登錄項(xiàng)及其數(shù)據(jù)的。所有的關(guān)鍵字都是以“HKEY”作為前綴開頭，在注冊(cè)表中，關(guān)鍵字可以分為兩類：一類由系統(tǒng)定義，一般稱為“預(yù)定義關(guān)鍵字”；另一類由應(yīng)用程序定義的，由于安裝的應(yīng)用軟件不同，所以登錄項(xiàng)也不同。在“運(yùn)行”中輸入“regedit”，就可打開注冊(cè)表，如圖11-8所示。注冊(cè)表物理上是由若干文件組成，是一個(gè)樹狀、分層的數(shù)據(jù)庫結(jié)果。圖11-8注冊(cè)表編輯器可以看出在WindowsServer2003下，注冊(cè)表被分為5大根鍵，它們是：（1）HKEY_CLASSES_ROOT（2）HKEY_CURRENT_USER（3）HKEY_LOCAL_MACHINE（4）HKEY_USERS（5）HKEY_CURRENT_CONFIG注冊(cè)表鍵值類型注冊(cè)表由鍵、子鍵和值項(xiàng)構(gòu)成。注冊(cè)表通過鍵和子鍵來管理各種信息。這些鍵值數(shù)據(jù)可以分為三種類型。（1）二進(jìn)制（BINARY）在注冊(cè)表中，二進(jìn)制是沒有長(zhǎng)度限制的，可以是任意長(zhǎng)度的字節(jié)。雙擊鍵值名，就會(huì)彈出“編輯二進(jìn)制數(shù)值”對(duì)話框，如圖11-9所示。（2）DWORD值（DWORD）DWORD值是一個(gè)32位長(zhǎng)度的數(shù)值。在注冊(cè)表編輯器中，雙擊鍵名，就會(huì)彈出“編輯二進(jìn)制數(shù)值”對(duì)話框，如圖11-10所示。（3）字符串值（SZ）

在注冊(cè)表中，字符串值一般用來表示文件的描述和硬件標(biāo)識(shí)等。同樣通過雙擊鍵值名，在彈出的對(duì)話框可以進(jìn)行修改，如圖11-11所示。圖11-9編輯二進(jìn)制數(shù)值圖11-10編輯DWORD值圖11-11編輯字符串注冊(cè)表數(shù)據(jù)類型注冊(cè)表的鍵中包含著各種不同格式的數(shù)據(jù)。數(shù)據(jù)類型可以分為以下三種：通用數(shù)據(jù)類型。WindowsNT專用數(shù)據(jù)類型。組件／應(yīng)用程序?qū)Ｓ玫奶厥鈹?shù)據(jù)類型。常見的與注冊(cè)表有關(guān)的術(shù)語主要有：（1）HKEY：“根鍵”或“主鍵”。（2）key（鍵）：它包含了附加的文件夾和一個(gè)或多個(gè)值。（3）subkey（子鍵）：在某一個(gè)鍵（父鍵）下面出現(xiàn)的鍵（子鍵）。

（4）branch（分支）：代表一個(gè)特定的子鍵及其所包含的一切。（5）valueentry（值項(xiàng)）：帶有一個(gè)名稱和一個(gè)值的有序值。（6）字符串(REG_SZ)：通常它由字母和數(shù)字組成。注冊(cè)表總是在引號(hào)內(nèi)顯示字符串。（7）二進(jìn)制（REG_BINARY）：，是沒有長(zhǎng)度限制的二進(jìn)制數(shù)值，在注冊(cè)表編輯器中，二進(jìn)制數(shù)據(jù)以十六進(jìn)制的方式顯示出來。（8）雙字（REG_DWORD）：雙字節(jié)值，由十六進(jìn)制數(shù)據(jù)組成。（9）Default（缺省值）：每一個(gè)鍵至少包括一個(gè)值項(xiàng)，稱為缺省值（Default），它總是一個(gè)字串。注冊(cè)表剖析下面讓我們具體看看系統(tǒng)預(yù)定義的5個(gè)根鍵：（1）HKEY_CLASSES_ROOT：基層類別鍵，定義了系統(tǒng)中所有已經(jīng)注冊(cè)的文件擴(kuò)展名、文件類型、文件圖標(biāo)等。（2）HKEY_CURRENT_USER：定義了當(dāng)前用戶的所有權(quán)限，包含了當(dāng)前用戶的登錄信息。（3）HKEY_LOCAL_MACHINE：定義了本地計(jì)算機(jī)的軟硬件的全部信息。（4）HKEY_USERS：定義了所有的用戶信息，它的大部分設(shè)置都可以通過控制面板來修改。（5）HKEY_CURRENT_CONFIG：定義了計(jì)算機(jī)的當(dāng)前配置情況。下面對(duì)HKEY_LOCAL_MACHINE進(jìn)行深入分析：HARDWARE子鍵：該子鍵下面存放一些有關(guān)超文本終端、數(shù)學(xué)協(xié)處理器和串口等信息。SAM子鍵：系統(tǒng)自動(dòng)將其保護(hù)起來。SECURITY子鍵：包含了安全設(shè)置的信息，同樣也讓系統(tǒng)保護(hù)起來。SOFTWARE子鍵：包含了系統(tǒng)軟件、當(dāng)前安裝的應(yīng)用軟件及用戶的有關(guān)信息。SYSTEM子鍵：該子鍵存放的是啟動(dòng)時(shí)所使用的信息和修復(fù)系統(tǒng)時(shí)所需的信息，其中包括各個(gè)驅(qū)動(dòng)程序的描述信息和配置信息等。System子鍵下面有一個(gè)CurrentControlSet子鍵，系統(tǒng)在這個(gè)子鍵下保存了當(dāng)前的驅(qū)動(dòng)程序控制集的信息。Control子鍵：該子鍵中保存的是由控制面板中各個(gè)圖標(biāo)程序設(shè)置的信息。Control子鍵包含以下的子鍵：（1）fontassoc子鍵：該子鍵存放的是有關(guān)字體設(shè)置信息（2）Nls子鍵：用來設(shè)置Windows的語言特性，如代碼頁、EUDC內(nèi)碼范圍、語言分類等。（3）SessionManager子鍵：用于管理系統(tǒng)的會(huì)話。（4）MediaResources子鍵：用于設(shè)置多媒體資源。（5）MediaProperties子鍵：用于設(shè)置多媒體的屬性。（6）FileSystem子鍵：主要對(duì)Windows文件系統(tǒng)進(jìn)行設(shè)置。（7）shutdown子鍵：用于對(duì)Windows關(guān)機(jī)時(shí)的設(shè)置，里面有一個(gè)快速關(guān)機(jī)的設(shè)置。（8）keyboardlayouts子鍵：主要對(duì)Windows的鍵盤布局或者鍵盤語言進(jìn)行設(shè)置。（9）Update子鍵：此子鍵的功能與“控制面板”窗口中的“查看”菜單中的“刷新”相同。（10）TimeZoneInformation子鍵：用于設(shè)置時(shí)區(qū)信息。（11）Print子鍵：用于設(shè)置打印機(jī)。（12）IDConfigDB子鍵：用于顯示硬件配置文件的配置數(shù)據(jù)、配置名稱等其他信息。（13）ComputerName子鍵：該分層結(jié)構(gòu)用于設(shè)置計(jì)算機(jī)名稱。（14）SecurityProviders子鍵：用于設(shè)置網(wǎng)絡(luò)供應(yīng)商的安全功能。Services子鍵：在該子鍵下面的每個(gè)子鍵中存放相應(yīng)服務(wù)的配置和描述信Services子鍵包括以下子鍵：（1）Class子鍵：該子鍵中保存的是Windows支持的不同種類硬件的信息。（2）VxD子鍵：該子鍵保存了Windows中所有虛擬設(shè)備驅(qū)動(dòng)程序的信息。（3）WinSock子鍵：存放的是當(dāng)系統(tǒng)連接Internet時(shí)使用的WinSock的信息。（4）WDMFS子鍵：用于設(shè)置WDMFS（WDM文件系統(tǒng)）。（5）UPDATE子鍵：用于設(shè)置UPDATE（更新服務(wù)）。（6）RemoteAccess子鍵：存放的是和Windows撥號(hào)網(wǎng)絡(luò)有關(guān)的信息。（7）MSNP32子鍵：該子鍵用于保存Microsoft網(wǎng)絡(luò)用戶的驗(yàn)證信息。（8）NWNP32子鍵：該子鍵中存放的是Microsoft網(wǎng)絡(luò)用戶針對(duì)Netware網(wǎng)絡(luò)時(shí)的驗(yàn)證信息。（9）Arbitrators子鍵：該子鍵中保存的信息是用來解決不同的設(shè)備間資源沖突的問題。（10）WinSock2子鍵：用于存放與Internet連接時(shí)WinSock2.0版本的有關(guān)信息。（11）wdmaud子鍵：用于存放WDMAudio（WDM音頻）信息。（12）NPSTUB子鍵：該子鍵用于存放“Microsoft友好登錄”的有關(guān)信息。（13）WebPost子鍵：該子鍵下面保存了所有與InternetMail有關(guān)的信息。11.4.3注冊(cè)表的操作注冊(cè)表鍵值的添加和刪除這里以HKEY_LOCAL_MACHINE\Software為例進(jìn)行說明。首先右鍵選中“HKEY_LOCAL_MACHINE\Software”，在彈出的菜單選擇“項(xiàng)”命令，并命名為“new1”，接著右鍵選中“new1”，在彈出的菜單選擇“項(xiàng)”命令，并命名為“new2”，結(jié)果如圖11-12所示。右鍵選中“new2”，在彈出的菜單中選擇“字符串值”，默認(rèn)名為“新建#1”，右鍵選中“新建#1”，可進(jìn)行重命名，至于新建其他值，讀者可自行實(shí)踐，如圖11-13所示。刪除的操作很簡(jiǎn)單，右鍵選中所要?jiǎng)h除的內(nèi)容，在彈出的菜單選擇“刪除”命令，如果確定要?jiǎng)h除，