高手都用注册表打造安全系统
高手都用注册表打造安全系统
众所周知,操作系统的注册表是一个藏龙卧虎的地方,所有系统设置都可以在注册表中找到踪影,所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。
然而,正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢?
下面将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。
1.禁止使用注册表编辑器
大家都了解使用注册表可以做很多事情,它可以大大优化系统,但如果心怀不轨的人更改了电脑的注册表,可就不知要发生什么事情了,所以有时为了计算机的安全,可以通过修改注册表设置禁止其他人更改注册表设置。打开“注册表编辑器”窗口,从左侧栏中依次展开“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”子项,在右栏中找到或新建一个DWORD值类型的名为“Disableregistrytools”的项,将其值改为1。
关闭注册表,再次打开注册表编辑器时,将会弹出禁止修改的提示框。
2.恢复禁用的注册表编辑器
禁止别人使用注册表编辑器的同时,自己也没法使用了,如何恢复禁用的注册表编辑器呢?可以选用以下两种方法之一。
方法一:
打开一个“记事本”文件,如果你的电脑的操作系统是Windows 2000\XP,在其中输入以下文字:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:00000000
如果操作系统是Windows98或Windows95,则输入如下文字:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“Disableregistrytools”=dword:00000000
(PS:输入的内容中的标点符号均要使用英文半角符号)
将文件保存为名为“Unlock.reg”的注册表文件。双击运行这个文件,将这个文件导入到注册表中,然后使用常规打开注册表编辑器的方法就可以重新打开注册表编辑器了。
方法二:
在Windows2000\XP\2003系统中,从“开始”菜单中选择“运行”项,在打开的“运行”对话框中输入“Gpedit.msc”(不含引号),单击“确定”按钮,即可打开“组策略”对话框。从左侧栏中依次选择“用户配置”—“管理模板”—“系统”项,在右侧栏中双击“阻止访问注册表编辑工具”项。
可以打开“阻止访问注册表编辑工具属性”对话框,选择“已禁用”单选项,单击“确定”按钮,即可恢复禁用的注册表编辑器。
特别提示:在进行修改之前,一定要备份原有注册表。
1.拒绝"信"骚扰
安全隐患:在Windows
2000/XP系统中,默认Messenger服务处于启动状态,不怀好意者可通过"net
send"指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。
解决方法:首先打开注册表编辑器。对于系统服务来说,我们可以通过注册表中"HKEY_LOCAL_MACHINESYSTEMCurrentControlS etServices"项下的各个选项来进行管理,其中的每个子键就是系统中对应的"服务",如"Messenger"服务对应的子键是"Messenger" 。我们只要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到"信"骚扰了。
2.关闭"远程注册表服务"
安全隐患:如果黑客连接到了我们的计算机,而且计算机启用了远程注册表服务(Remote Registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。
解决方法:我们可将远程注册表服务(Remote
Registry)的启动方式设置为禁用。不过,黑客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从"禁用"转换为"自动启动"。因此我们有必要将该服务删除。
找到注册表中"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"下的RemoteRegistry项,右键点击该项选择"删除"(图1),将该项删除后就无法启动该服务了。
在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。
3.请走"默认共享"
安全隐患:大家都知道在Windows
2000/XP/2003中,系统默认开启了一些"共享",它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。
解决方法:要防范IPC$攻击应该将注册表中"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA"的 RestrictAnonymous项设置为"1",这样就可以禁止IPC$的连接。
对于c$、d$和admin$等类型的默认共享则需要在注册表中找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS ervicesLanmanServerParameters"项。如果系统为Windows
2000 Server或Windows
2003,则要在该项中添加键值"AutoShareServer"(类型为"REG_DWORD",值为"0")。如果系统为Windows
2000
PRO,则应在该项中添加键值"AutoShareWks"(类型为"REG_DWORD",值为"0")。
4.严禁系统隐私泄露
安全隐患:在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp 和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
解决方法:找到"HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows
NT
CurrentVersionAeDebug",将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击"Docu ments
and Settings→ALL
Users→Documents→drwatson",找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSO N以前保存的隐私信息删除。
提示:如果已经禁止了DR.WATSON程序的运行,则不会找到"drwatson"文件夹以及user.dmp和drwtsn32.log这两个文件。
5.拒绝ActiveX控件的恶意骚扰
安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,我们应该阻止ActiveX 控件私自运行程序。
解决方法:ActiveX控件是通过调用Windows scripting
host组件的方式运行程序的,所以我们可以先删除"system32"目录下的wshom.ocx文件,这样ActiveX控件就不能调用Windows
scripting
host了。然后,在注册表中找到"HKEY_LOCAL_MACHINESOFTWARE
ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}",将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。
6.防止页面文件泄密
安全隐患:Windows
2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。
解决方法:找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory
Management",将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。
7.密码填写不能自动化
安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。
解决方法:在"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies"分支中找到network子项(如果没有可自行添加),在该子项下建立一个新的双字节值,名称为disablepasswordcaching,并将该值设置为1。重新启动计算机后,操作系统就不会自作聪明地记录密码了。
8.禁止病毒启动服务
安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?
解决方法:运行"regedt32"指令启用带权限分配功能的注册表编辑器。在注册表中找到"HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServices"分支,接着点击菜单栏中的"安全→权限",在弹出的Services权限设置窗口中单击"添加"按钮,将Everyon e账号导入进来,然后选中"Everyone"账号,将该账号的"读取"权限设置为"允许",将它的"完全控制"权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。
9.不准病毒自行启动
安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们可以按照"禁止病毒启动服务"中介绍的方法将病毒和木马对该键值的修改权限去掉。
解决方法:运行"regedt32"指令启动注册表编辑器。找到注册表中的"HKEY_CURRENT_MACHINESOFTWAREMicrosoftWi ndowsCurrentVersionRUN"分支,将Everyone 对该分支的"读取"权限设置为"允许",取消对"完全控制"权限的选择。这样病毒和木马就无法通过该键值启动自身了。
病毒和木马是不断"发展"的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,"防患于未然"才是我们应该追求的。
电脑注册表使用大全
电脑注册表使用大全.txt结婚就像是给自由穿件棉衣,活动起来不方便,但会很温暖。谈恋爱就像剥洋葱,总有一层让你泪流。HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/RealModeNet 下修改右边窗口中的“autologon”为“01 00 00 00 00”。 禁止CD-ROM自动运行: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom在右边的窗口中,把DWORD值“Autorun”改为“0”。“1”表示自动运行. 允许强制关闭系统: 在我们运行程序的时候,有时会遇到软件程序没反映的现象,于是我们按CTRL+ALT+DEL来关闭系统而当我们按下后,系统会叫我们退出前要使软件程序退出,使用本功能可允许强制关闭系统在HKEY_USERS\.DEFAULT\Control Panel\desktop下,在右边的窗口中创建一个字符串值:“AutoEndTasks"并将其值设为“1". 禁止光标闪动: 在HKEY_USERS\.DEFAULT\Control Panel\desktop下在右边的窗口中创建一个字符串值:“CursorBlinkRate”,并将其值设为“-1”。 自动更新: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Update把二进制值“UpdateMode”改为“00 00 00 00”。 自动运行光碟: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 在右边的窗口中创建一个二进制值:“NoDriveTypeAutoRun”,并将其值设为“95 00 00 00”想禁止自动运行,只需改为"b5 00 00 00"。 自动播放光碟: 在HKEY_CLASSES_ROOT\AudioCD\shell下在右边的窗口中修改字符串值:“默认”,改其值为空格. 禁止使用任务栏: 在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 下在右边的窗口中新建一个DWORD值:“NoSetTaskBar”,并设其值为“1”。此条技巧的作用是当我们在系统的任务栏上点击鼠标右键,再选择“属性”时,将会出现以下的提示信息."本次操作由于这台计算机的限制而被取消。请与你的系统管理员联系”。 改变图标大小: HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics在右边的窗口中找到字符串值:“Shell Icon Size”,改变其值即改变图标大小,缺省值为“32”。
网络安全实验报告
信息与科学技术学院学生上机实验报告 课程名称:计算机网络安全 开课学期:2015——2016学年 开课班级:2013级网络工程(2)班 教师姓名:孙老师 学生姓名:罗志祥 学生学号:37 实验一、信息收集及扫描工具的使用 【实验目的】 1、掌握利用注册信息和基本命令实现信息收集 2、掌握结构探测的基本方法 3、掌握X-SCAN的使用方法 【实验步骤】 一、获取以及的基本信息 1.利用ping 和nslookup获取IP地址(得到服务器的名称及地址) 2.利用来获取信息 二、使用工具获取到达的结构信息 三、获取局域网内主机IP的资源信息 -a IP 获得主机名;
-a IP 获得所在域以及其他信息; view IP 获得共享资源; a IP 获得所在域以及其他信息; 四、使用X-SCAN扫描局域网内主机IP; 1.设置扫描参数的地址范围; 2.在扫描模块中设置要扫描的项目; 3.设置并发扫描参数; 4.扫描跳过没有响应的主机; 5.设置要扫描的端口级检测端口; 6.开始扫描并查看扫描报告; 实验二、IPC$入侵的防护 【实验目的】 ?掌握IPC$连接的防护手段 ?了解利用IPC$连接进行远程文件操作的方法 ?了解利用IPC$连接入侵主机的方法 【实验步骤】 一:IPC$ 连接的建立与断开 通过IPC$ 连接远程主机的条件是已获得目标主机管理员的账号和密码。 1.单击“开始”-----“运行”,在“运行”对话框中输入“cmd”
1.建立IPC$连接,键入命令 net use 123 / user:administrator 2.映射网络驱动器,使用命令: net use y: 1.映射成功后,打开“我的电脑”,会发现多了一个y盘,该磁盘即为目标主机的C盘 1.在该磁盘中的操作就像对本地磁盘操作一 1.断开连接,键入 net use * /del 命令,断开所有的连接 1.通过命令 net use 可以删除指定目标IP 的IPC$ 连接。 ?建立后门账号 1.编写BAT文件,内容与文件名如下,格式改为:.bat 1.与目标主机建立IPC$连接 2.复制文件到目标主机。(或映射驱动器后直接将放入目标主机的C 盘中) 1.通过计划任务使远程主机执行文件,键入命令:net time ,查看目标主机的时间。 1.如图,目标主机的系统时间为13:4513:52 c:\ ,然后断开IPC$连接。 1.验证账号是否成功建立。等一段时间后,估计远程主机已经执行了文件,通过建立IPC$连接来验证是否成功建立“sysback”账号:建立IPC$连接,键入命令 net use 123 /user:sysback 1.若连接成功,说明管理员账号“sysback”已经成功建立连接。
注册表使用方法
一、什么是注册表啊 windows操作系统的注册表实际上是一个庞大的数据库,它包括操作系统的硬件配置、软件配置、用户环境和操作系统界面的数据信息。注册表是Windows操作系统的核心文件,它存放着各种参数,直接控制系统启动、硬件驱动程序的装载以及系统应用程序运行。注册表包括以下几部分内容。 ①软、硬件的相关配置和状态信息,应用程序和资源管理器外壳的初始条件、首选项和卸载数据。 ②联网电脑的整个系统的设置和各种许可信息,文件扩展名与应用程序的关联信息以及硬件部件的描述、状态和属性等信息。 ③性能记录、用户自定义设置以及其他数据信息。 注册表涵盖了软、硬件等多方面的设置信息,如果对这些设置修改得当,将会对系统本身和其中的软件进行优化。但注册表中存放着系统的所有配置信息,如果进行了错误的设置还会导致系统的瘫痪,所以不明白的键值一定不要随便修改。 二、修改注册表的作用 1、提高系统性能。通过修改注册表可以优化注册表,达到提高系统性能的目的。如加快系统启动速度及加速网上邻居访问速度。 2、增强系统安全性。如禁止修改IE主页。 3、解决系统常见故障。如解决IE窗口突然关闭的问题。 4、个性化操作系统。如在右键菜单中添加“在新窗口中打开”。 5、便于远程管理。 三、注册表编辑器的启动 启动注册表有两种方法: 1、开始—运行,输入“regedit"或者"regedt32" 2、在CMD中输入regedt32.exe,回车。 四、如果使注册表修改生效 1、重启电脑。一般情况下,如果修改与系统相关的内容,即HKEY_LOCAL_MACHINE根键下的内容,需要重新启动电脑才能生效。 2、刷新桌面。对桌面设置或效果的注册表值进行修改,系统是实时读取的,修改之后立即生效,但有时候也需要在桌面上刷新一下才能显示效果。 3、重启桌面。即按Ctrl+Alt+del,调出任务管理器,结束“Explorer.exe”,然后再