用注冊表為操作系統(tǒng)砌九堵安全墻樣本

用注冊表為操作系統(tǒng)砌九堵安全“墻”·用注冊表為操作系統(tǒng)砌九堵安全“墻”（1）眾所周知，操作系統(tǒng)注冊表是一種藏龍臥虎地方，所有系統(tǒng)設(shè)立都可以在注冊表中找到蹤影，所有程序啟動方式和服務(wù)啟動類型都可通過注冊表中小小鍵值來控制。

然而，正由于注冊表強大使得它也成為了一種藏污納垢地方。病毒和木馬經(jīng)常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，威脅著原本健康操作系統(tǒng)。如何才干有效地防范病毒和木馬侵襲，保證系統(tǒng)正常運營呢?今天筆者將從服務(wù)、默認(rèn)設(shè)立、權(quán)限分派等九個方面入手為人們簡介如何通過注冊表打造一種安全系統(tǒng)。

特別提示:在進行修改之前，一定要備份原有注冊表。

1.回絕“信”騷擾

安全隱患:在Windows/XP系統(tǒng)中，默認(rèn)Messenger服務(wù)處在啟動狀態(tài)，不懷好意者可通過“netsend”指令向目的計算機發(fā)送信息。目的計算機會不時地收到她人發(fā)來騷擾信息，嚴(yán)重影響正常使用。

解決辦法:一方面打開注冊表編輯器。對于系統(tǒng)服務(wù)來說，咱們可以通過注冊表中“HKEY_LOCAL_MACHI

NESYSTEMCurrentControlSetService

s”項下各個選項來進行管理，其中每個子鍵就是系統(tǒng)中相應(yīng)“服務(wù)”，如“Messenger”服務(wù)相應(yīng)子鍵是“Messenger”。咱們只要找到Messenger項下START鍵值，將該值修改為4即可。這樣該服務(wù)就會被禁用，顧客就再也不會受到“信”騷擾了。

2.關(guān)閉“遠程注冊表服務(wù)”

安全隱患:如果黑客連接到了咱們計算機，并且計算機啟用了遠程注冊表服務(wù)(RemoteRegistry)，那么黑客就可遠程設(shè)立注冊表中服務(wù)，因而遠程注冊表服務(wù)需要特別保護。

解決辦法:咱們可將遠程注冊表服務(wù)(RemoteRegistry)啟動方式設(shè)立為禁用。但是，黑客在入侵咱們計算機后，依然可以通過簡樸操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動啟動”。因而咱們有必要將該服務(wù)刪除。

找到注冊表中“HKEY_LOCAL_

MACHINESYSTEMCurrentControlSet

Services”下RemoteRegistry項，右鍵點擊該項選取“刪除”(圖1)，將該項刪除后就無法啟動該服務(wù)了。

在刪除之前，一定要將該項信息導(dǎo)出并保存。想使用該服務(wù)時，只要將已保存注冊表文獻導(dǎo)入即可。

3.請走“默認(rèn)共享”

安全隱患:人們都懂得在Windows/XP/中，系統(tǒng)默認(rèn)啟動了某些“共享”，它們是IPC$、c$、d$、e$和admin$。諸多黑客和病毒都是通過這個默認(rèn)共享入侵操作系統(tǒng)。

解決辦法:要防范IPC$襲擊應(yīng)當(dāng)將注冊表中“HKEY_LOCAL_MACHI

NESYSTEMCurrentControlSetControl

LSA”RestrictAnonymous項設(shè)立為“1”，這樣就可以禁止IPC$連接。

對于c$、d$和admin$等類型默認(rèn)共享則需要在注冊表中找到“HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesLanmanServ

erParameters”項。如果系統(tǒng)為WindowsServer或Windows，則要在該項中添加鍵值“AutoShareServ

er”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為WindowsPRO，則應(yīng)在該項中添加鍵值“AutoSh

areWks”(類型為“REG_DWORD”，值為“0”)。

4.禁止系統(tǒng)隱私泄露

安全隱患:在Windows系統(tǒng)運營出錯時候，系統(tǒng)內(nèi)部有一種DR.WATSON程序會自動將系統(tǒng)調(diào)用隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文獻中。襲擊者可以通過破解這個程序而理解系統(tǒng)隱私信息。因而咱們要制止該程序?qū)⑿畔⑿孤冻鋈ァ?/p>

解決辦法:找到“HKEY_LOACL_

MACHINESOFTWAREMicrosoftWin

dowsNTCurrentVersionAeDebug”，將AUTO鍵值設(shè)立為0，當(dāng)前DR.WATSON就不會記錄系統(tǒng)運營時出錯信息了。同步，依次點擊“Docume

ntsandSettings→ALLUsers→Docum

ents→drwatson”，找到user.dmp和drwtsn32.log文獻并刪除。刪除這兩個文獻目是將DR.WATSON此前保存隱私信息刪除。

提示:如果已經(jīng)禁止了DR.WATSON程序運營，則不會找到“drwatson”文獻夾以及user.dmp和drwtsn32.log這兩個文獻?！び米员頌椴僮飨到y(tǒng)砌九堵安全“墻”（2）5.回絕ActiveX控件惡意騷擾

安全隱患:不少木馬和病毒都是通過在網(wǎng)頁中隱藏惡意ActiveX控件辦法來擅自運營系統(tǒng)中程序，從而達到破壞本地系統(tǒng)目。為了保證系統(tǒng)安全，咱們應(yīng)當(dāng)制止ActiveX控件擅自運營程序。

解決辦法:ActiveX控件是通過調(diào)用Windowsscriptinghost組件方式運營程序，因此咱們可以先刪除“system32”目錄下wshom.ocx文獻，這樣ActiveX控件就不能調(diào)用Windowsscriptinghost了。然后，在注冊表中找到“HKEY_LOCAL_MACHINES

OFTWAREClassesCLSID{F935DC2

2-1CF0-11D0-ADB9-00C04FD58A0B

}”，將該項刪除。通過以上操作，ActiveX控件就再也無法擅自調(diào)用腳本程序了。

6.防止頁面文獻泄密

安全隱患:Windows頁面互換文獻也和上文提到DR.WATSON程序同樣經(jīng)常成為黑客襲擊對象，由于頁面文獻有也許泄露某些原本在內(nèi)存中日后卻轉(zhuǎn)到硬盤中信息。畢竟黑客不太容易查看內(nèi)存中信息，而硬盤中信息則極易被獲取。

解決辦法:找到“HKEY_LOCAL_

MACHINESYSTEMCurrentControlSet

ControlSessionManagerMemoryMan

agement”，將其下ClearPageFileAtSh

utdown項目值設(shè)立為1(圖2)。這樣，每當(dāng)重新啟動后，系統(tǒng)都會將頁面文獻刪除，從而有效防止信息外泄。

7.密碼填寫不能自動化

安全隱患:使用Windows系統(tǒng)沖浪時，常會遇到密碼信息被系統(tǒng)自動記錄狀況，后來重新訪問時系統(tǒng)會自動填寫密碼。這樣很容易導(dǎo)致自己隱私信息外泄。

解決辦法:在“HKEY_LOCAL_MACHINESOFTWA

REMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(如果沒有可自行添加)，在該子項下建立一種新雙字節(jié)值，名稱為disablepasswordcaching，并將該值設(shè)立為1。重新啟動計算機后，操作系統(tǒng)就不會自作聰穎地記錄密碼了。

8.禁止病毒啟動服務(wù)

安全隱患:當(dāng)前病毒很聰穎，不像此前只會通過注冊表RUN值或MSCONFIG中項目進行加載。某些高檔病毒會通過系統(tǒng)服務(wù)進行加載。那么，咱們能不能使病毒或木馬沒有啟動服務(wù)相應(yīng)權(quán)限呢?

解決辦法:運營“regedt32”指令啟用帶權(quán)限分派功能注冊表編輯器。在注冊表中找到“HKEY_LOCAL_

MACHINESYSTEMCurrentControlSetServices”分支，接著點擊菜單欄中“安全→權(quán)限”，在彈出Services權(quán)限設(shè)立窗口中單擊“添加”按鈕，將Everyone賬號導(dǎo)入進來，然后選中“Everyone”賬號，將該賬號“讀取”權(quán)限設(shè)立為“容許”，將它“完全控制”權(quán)限取消(圖3)。當(dāng)前任何木馬或病毒都無法自行啟動系統(tǒng)服務(wù)了。固然，該辦法只對沒有獲得管理員權(quán)限病毒和木馬有效。

9.不準(zhǔn)病毒自行啟動

安全隱患:諸多病毒都是通過注冊表中RUN值進行加載而實現(xiàn)隨操作系統(tǒng)啟動而啟動，咱們可以按照“禁止病毒啟動服務(wù)”中簡介辦法將病毒和木馬對該鍵值修改權(quán)限去掉。

解決辦法:運營“regedt32”指令啟動注冊表編輯器。找到注冊表中“HKEY_CURRENT_MACHINESO

FTWAREMicrosoftWindowsCurrentVers