用登錄檔去除九處作業系統安全隱患

　　眾所周知，作業系統的登錄檔是一個藏龍臥虎的地方，所有系統設定都可以在登錄檔中找到蹤影，所有的程式啟動方式和服務啟動型別都可通過登錄檔中的小小鍵值來控制。接下來是小編為大家收集的，希望能幫到大家。

　　正因為登錄檔的強大使得它也成為了一個藏汙納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地幹著罪惡勾當，威脅著原本健康的作業系統。如何才能有效地防範病毒和木馬的侵襲，保證系統的正常執行呢?今天筆者將從服務、預設設定、許可權分配等九個方面入手為大家介紹如何通過登錄檔打造一個安全的系統。

　　PC6特別提示:在進行修改之前，請一定要備份原有登錄檔。

　　拒絕“信”騷擾

　　安全隱患:在Windows2000/XP系統中，預設Messenger服務處於啟動狀態，不懷好意者可通過“netsend”指令向目標計算機發送資訊。目標計算機會不時地收到他人發來的騷擾資訊，嚴重影響正常使用。

　　解決方法:首先開啟登錄檔編輯器。對於系統服務來說，我們可以通過登錄檔中“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services”項下的各個選項來進行管理，其中的每個子鍵就是系統中對應的“服務”，如“Messenger”服務對應的子鍵是“Messenger”。我們只要找到Messenger項下的START鍵值，將該值修改為4即可。這樣該服務就會被禁用，使用者就再也不會受到“信”騷擾了。

　　關閉“遠端登錄檔服務”

　　安全隱患:如果黑客連線到了我們的計算機，而且計算機啟用了遠端登錄檔服務***RemoteRegistry***，那麼黑客就可遠端設定登錄檔中的服務，因此遠端登錄檔服務需要特別保護。

　　解決方法:我們可將遠端登錄檔服務***RemoteRegistry***的啟動方式設定為禁用。不過，黑客在入侵我們的計算機後，仍然可以通過簡單的操作將該服務從“禁用”轉換為“自動啟動”。因此我們有必要將該服務刪除。

　　找到登錄檔中“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services”下的RemoteRegistry項，右鍵點選該項選擇“刪除”***圖1***，將該項刪除後就無法啟動該服務了。在刪除之前，一定要將該項資訊匯出並儲存。想使用該服務時，只要將已儲存的登錄檔檔案匯入即可。

　　請走“預設共享”

　　安全隱患:大家都知道在Windows2000/XP/2003中，系統預設開啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個預設共享入侵作業系統的。

　　解決方法:要防範IPC$攻擊應該將登錄檔中“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-ControlLSA”的RestrictAnonymous項設定為“1”，這樣就可以禁止IPC$的連線。

　　對於c$、d$和admin$等型別的預設共享則需要在登錄檔中找到“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services-LanmanServer-Parameters”項。如果系統為Windows2000Server或Windows2003，則要在該項中新增鍵值“AutoShareServer”***型別為“REG_DWORD”，值為“0”***。如果系統為Windows2000PRO，則應在該項中新增鍵值“AutoShareWks”***型別為“REG_DWORD”，值為“0”***。

　　嚴禁系統隱私洩露

　　安全隱患:在Windows系統執行出錯的時候，系統內部有一個DR.WATSON程式會自動將系統呼叫的隱私資訊儲存下來。隱私資訊將儲存在user.dmp和drwtsn32.log檔案中。攻擊者可以通過破解這個程式而瞭解系統的隱私資訊。因此我們要阻止該程式將資訊洩露出去。

　　解決方法:找到“HKEY_LOACL_MACHINE-SOFTWARE-Microsoft-WindowsNT-CurrentVersion-AeDebug”，將AUTO鍵值設定為0，現在DR.WATSON就不會記錄系統執行時的出錯資訊了。同時，依次點選“DocumentsandSettings-ALLUsers-Documents-drwatson”，找到user.dmp和drwtsn32.log檔案並刪除。刪除這兩個檔案的目的是將DR.WATSON以前儲存的隱私資訊刪除。

　　提示:如果已經禁止了DR.WATSON程式的執行，則不會找到“drwatson”資料夾以及user.dmp和drwtsn32.log這兩個檔案。

　　拒絕ActiveX控制元件的惡意騷擾

　　安全隱患:不少木馬和病毒都是通過在網頁中隱藏惡意ActiveX控制元件的方法來私自執行系統中的程式，從而達到破壞本地系統的目的。為了保證系統安全，我們應該阻止ActiveX控制元件私自執行程式。

　　解決方法:ActiveX控制元件是通過呼叫Windowsscriptinghost元件的方式執行程式的，所以我們可以先刪除“system32”目錄下的wshom.ocx檔案，這樣ActiveX控制元件就不能呼叫Windowsscriptinghost了。然後，在登錄檔中找到“HKEY_LOCAL_MACHINE-SOFTWARE-ClassesCLSID-{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項刪除。通過以上操作，ActiveX控制元件就再也無法私自呼叫指令碼程式了。

　　防止頁面檔案洩密

　　安全隱患:Windows2000的頁面交換檔案也和上文提到的DR.WATSON程式一樣經常成為黑客攻擊的物件，因為頁面檔案有可能洩露一些原本在記憶體中後來卻轉到硬碟中的資訊。畢竟黑客不太容易檢視記憶體中的資訊，而硬碟中的資訊則極易被獲取。

　　解決方法:找到“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SessionManager-MemoryManagement”，將其下的ClearPageFileAtShutdown專案的值設定為1。這樣，每當重新啟動後，系統都會將頁面檔案刪除，從而有效防止資訊外洩。

　　密碼填寫不能自動化

　　安全隱患:使用Windows系統衝浪時，常會遇到密碼資訊被系統自動記錄的情況，以後重新訪問時系統會自動填寫密碼。這樣很容易造成自己的隱私資訊外洩。

　　解決方法:在“HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-policies”分支中找到network子項***如果沒有可自行新增***，在該子項下建立一個新的雙位元組值，名稱為disablepasswordcaching，並將該值設定為1。重新啟動計算機後，作業系統就不會自作聰明地記錄密碼了。

　　禁止病毒啟動服務

　　安全隱患:現在的病毒很聰明，不像以前只會通過登錄檔的RUN值或MSCONFIG中的專案進行載入。一些高階病毒會通過系統服務進行載入。那麼，我們能不能使病毒或木馬沒有啟動服務的相應許可權呢?

　　解決方法:執行“regedt32”指令啟用帶許可權分配功能的登錄檔編輯器。在登錄檔中找到“HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Services”分支，接著點選選單欄中的“安全→許可權”，在彈出的Services許可權設定視窗中單擊“新增”按鈕，將Everyone賬號匯入進來，然後選中“Everyone”賬號，將該賬號的“讀取”許可權設定為“允許”，將它的“完全控制”許可權取消***圖3***。現在任何木馬或病毒都無法自行啟動系統服務了。當然，該方法只對沒有獲得管理員許可權的病毒和木馬有效。

　　不準病毒自行啟動

　　安全隱患:很多病毒都是通過登錄檔中的RUN值進行載入而實現隨作業系統的啟動而啟動的，我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改許可權去掉。

　　解決方法:執行“regedt32”指令啟動登錄檔編輯器。找到登錄檔中的“HKEY_CURRENT_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersionRUN”分支，將Everyone對該分支的“讀取”許可權設定為“允許”，取消對“完全控制”許可權的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。

　　病毒和木馬是不斷“發展”的，我們也要不斷學習新的防護知識，才能抵禦病毒和木馬的入侵。與其在感染病毒或木馬後再進行查殺，不如提前做好防禦工作，修築好牢固的城牆進行抵禦。畢竟亡羊補牢不是我們所希望發生的事情，“防患於未然”才是我們應該追求的。