用注册表为操作系统砌九堵安全墙样本.doc

用注册表为操作系统砌九堵安全“墙”

·用注册表为操作系统砌九堵安全“墙”（1）

众所周知，操作系统注册表是一种藏龙卧虎地方，所有系统设立都可以在注册表中找到踪影，所有程序启动方式和服务启动类型都可通过注册表中小小键值来控制。

然而，正由于注册表强大使得它也成为了一种藏污纳垢地方。病毒和木马经常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康操作系统。如何才干有效地防范病毒和木马侵袭，保证系统正常运营呢?今天笔者将从服务、默认设立、权限分派等九个方面入手为人们简介如何通过注册表打造一种安全系统。

特别提示:在进行修改之前，一定要备份原有注册表。

1.回绝“信”骚扰

安全隐患:在Windows/XP系统中，默认Messenger服务处在启动状态，不怀好意者可通过“netsend”指令向目的计算机发送信息。目的计算机会不时地收到她人发来骚扰信息，严重影响正常使用。

解决办法:一方面打开注册表编辑器。对于系统服务来说，咱们可以通过注册表中“HKEY_LOCAL_MACHI

NESYSTEMCurrentControlSetService

s”项下各个选项来进行管理，其中每个子键就是系统中相应“服务”，如“Messenger”服务相应子键是“Messenger”。咱们只要找到Messenger项下START键值，将该值修改为4即可。这样该服务就会被禁用，顾客就再也不会受到“信”骚扰了。

2.关闭“远程注册表服务”

安全隐患:如果黑客连接到了咱们计算机，并且计算机启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设立注册表中服务，因而远程注册表服务需要特别保护。

解决办法:咱们可将远程注册表服务(RemoteRegistry)启动方式设立为禁用。但是，黑客在入侵咱们计算机后，依然可以通过简朴操作将该服务从“禁用”转换为“自动启动”。因而咱们有必要将该服务删除。

找到注册表中“HKEY_LOCAL_

MACHINESYSTEMCurrentControlSet

Services”下RemoteRegistry项，右键点击该项选取“删除”(图1)，将该项删除后就无法启动该服务了。

在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存注册表文献导入即可。

3.请走“默认共享”

安全隐患:人们都懂得在Windows/XP/中，系统默认启动了某些“共享”，它们是IPC$、c$、d$、e$和admin$。诸多黑客和病毒都是通过这个默认共享入侵操作系统。

解决办法:要防范IPC$袭击应当将注册表中“HKEY_LOCAL_MACHI

NESYSTEMCurrentControlSetControl

LSA”RestrictAnonymous项设立为“1”，这样就可以禁止IPC$连接。

对于c$、d$和admin$等类型默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesLanmanServ

erParameters”项。如果系统为WindowsServer或Windows，则要在该项中添加键值“AutoShareServ

er”(类型为“REG_DWORD”，值为“0”)。如果系统为WindowsPRO，则应在该项中添加键值“AutoSh

areWks”(类型为“REG_DWORD”，值为“0”)。

4.禁止系统隐私泄露

安全隐患:在Windows系统运营出错时候，系统内部有一种DR.WATSON程序会自动将系统调用隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文献中。袭击者可以通过破解这个程序而理解系统隐私信息。因而咱们要制止该程序将信息泄露出去。

解决办法:找到“HKEY_LOACL_

MACHINESOFTWAREMicrosoftWin

dowsNTCurrentVersionAeDebug”，将AUTO键值设立为0，当前DR.WATSON就不会记录系统运营时出错信息了。同步，依次点击“Docume

ntsandSettings→ALLUsers→Docum

ents→drwatson”，找到user.dmp和drwtsn32.log文献并删除。删除这两个文献目是将DR.WATSON此前保存隐私信息删除。

提示:如果已经禁止了DR.WATSO