用註冊表為操作系統砌九堵安全「牆」

　眾所周知，操作系統的註冊表是一個藏龍卧虎的地方，所有系統設置都可以在註冊表中找到蹤影，所有的程序啟動方式和服務啟動類型都可通過註冊表中的小小鍵值來控制。

　　然而，正因為註冊表的強大使得它也成為了一個藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當，威脅著原本健康的操作系統。如何才能有效地防範病毒和木馬的侵襲，保證系統的正常運行呢?今天筆者將從服務、默認設置、許可權分配等九個方面入手為大家介紹如何通過註冊表打造一個安全的系統。

　　特別提示:在進行修改之前，一定要備份原有註冊表。

　　1.拒絕「信」騷擾

　　安全隱患:在Windows 2000/XP系統中，默認Messenger服務處於啟動狀態，不懷好意者可通過「net send」指令向目標計算機發送信息。目標計算機會不時地收到他人發來的騷擾信息，嚴重影響正常使用。

　　解決方法:首先打開註冊表編輯器。對於系統服務來說，我們可以通過註冊表中「HKEY_LOCAL_MACHI

　　NESYSTEMCurrentControlSetService

　　s」項下的各個選項來進行管理，其中的每個子鍵就是系統中對應的「服務」，如「Messenger」服務對應的子鍵是「Messenger」。我們只要找到Messenger項下的START鍵值，將該值修改為4即可。這樣該服務就會被禁用，用戶就再也不會受到「信」騷擾了。

　　2.關閉「遠程註冊表服務」

　　安全隱患:如果黑客連接到了我們的計算機，而且計算機啟用了遠程註冊表服務(Remote Registry)，那麼黑客就可遠程設置註冊表中的服務，因此遠程註冊表服務需要特別保護。

　　解決方法:我們可將遠程註冊表服務(Remote Registry)的啟動方式設置為禁用。不過，黑客在入侵我們的計算機后，仍然可以通過簡單的操作將該服務從「禁用」轉換為「自動啟動」。因此我們有必要將該服務刪除。

　　找到註冊表中「HKEY_LOCAL_

　　MACHINESYSTEMCurrentControlSet

　　Services」下的RemoteRegistry項，右鍵點擊該項選擇「刪除」(圖1)，將該項刪除后就無法啟動該服務了。

　　

　　在刪除之前，一定要將該項信息導出並保存。想使用該服務時，只要將已保存的註冊表文件導入即可。

　　3.請走「默認共享」

　　安全隱患:大家都知道在Windows 2000/XP/2003中，系統默認開啟了一些「共享」，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統的。

　　解決方法:要防範IPC$攻擊應該將註冊表中「HKEY_LOCAL_MACHI

　　NESYSTEMCurrentControlSetControl

　　LSA」的RestrictAnonymous項設置為「1」，這樣就可以禁止IPC$的連接。

　　對於c$、d$和admin$等類型的默認共享則需要在註冊表中找到「HKEY_LOCAL_MACHINESYSTEM

　　CurrentControlSetServicesLanmanServ

　　erParameters」項。如果系統為Windows 2000 Server或Windows 2003，則要在該項中添加鍵值「AutoShareServ

　　er」(類型為「REG_DWORD」，值為「0」)。如果系統為Windows 2000 PRO，則應在該項中添加鍵值「AutoSh

　　areWks」(類型為「REG_DWORD」，值為「0」)。

　　　4.嚴禁系統隱私泄露

　　安全隱患:在Windows系統運行出錯的時候，系統內部有一個DR.WATSON程序會自動將系統調用的隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過破解這個程序而了解系統的隱私信息。因此我們要阻止該程序將信息泄露出去。

　　解決方法:找到「HKEY_LOACL_

　　MACHINESOFTWAREMicrosoftWin

　　dows NT CurrentVersionAeDebug」，將AUTO鍵值設置為0，現在DR.WATSON就不會記錄系統運行時的出錯信息了。同時，依次點擊「Docume

　　nts and Settings→ALL Users→Docum

　　ents→drwatson」，找到user.dmp和drwtsn32.log文件並刪除。刪除這兩個文件的目的是將DR.WATSON以前保存的隱私信息刪除。

　　提示:如果已經禁止了DR.WATSON程序的運行，則不會找到「drwatson」文件夾以及user.dmp和drwtsn32.log這兩個文件。

　　5.拒絕ActiveX控制項的惡意騷擾

　　

　　安全隱患:不少木馬和病毒都是通過在網頁中隱藏惡意ActiveX控制項的方法來私自運行系統中的程序，從而達到破壞本地系統的目的。為了保證系統安全，我們應該阻止ActiveX控制項私自運行程序。

　　解決方法:ActiveX控制項是通過調用Windows scripting host組件的方式運行程序的，所以我們可以先刪除「system32」目錄下的wshom.ocx文件，這樣ActiveX控制項就不能調用Windows scripting host了。然後，在註冊表中找到「HKEY_LOCAL_MACHINES

　　OFTWARE ClassesCLSID{F935DC2

　　2-1CF0-11D0-ADB9-00C04FD58A0B

　　}」，將該項刪除。通過以上操作，ActiveX控制項就再也無法私自調用腳本程序了。

　　6.防止頁面文件泄密

　　安全隱患:Windows 2000的頁面交換文件也和上文提到的DR.WATSON程序一樣經常成為黑客攻擊的對象，因為頁面文件有可能泄露一些原本在內存中後來卻轉到硬碟中的信息。畢竟黑客不太容易查看內存中的信息，而硬碟中的信息則極易被獲取。

　　解決方法:找到「HKEY_LOCAL_

　　MACHINESYSTEMCurrentControlSet

　　ControlSession ManagerMemory Man

　　agement」，將其下的ClearPageFileAtSh

　　utdown項目的值設置為1(圖2)。這樣，每當重新啟動后，系統都會將頁面文件刪除，從而有效防止信息外泄。

　　

　　7.密碼填寫不能自動化

　　安全隱患:使用Windows系統衝浪時，常會遇到密碼信息被系統自動記錄的情況，以後重新訪問時系統會自動填寫密碼。這樣很容易造成自己的隱私信息外泄。

　　解決方法:在「HKEY_LOCAL_MACHINESOFTWA

　　REMicrosoftWindowsCurrentVersionpolicies」分支中找到network子項(如果沒有可自行添加)，在該子項下建立一個新的雙位元組值，名稱為disablepasswordcaching，並將該值設置為1。重新啟動計算機后，操作系統就不會自作聰明地記錄密碼了。

　　8.禁止病毒啟動服務

　　

　　安全隱患:現在的病毒很聰明，不像以前只會通過註冊表的RUN值或MSCONFIG中的項目進行載入。一些高級病毒會通過系統服務進行載入。那麼，我們能不能使病毒或木馬沒有啟動服務的相應許可權呢?

　　解決方法:運行「regedt32」指令啟用帶許可權分配功能的註冊表編輯器。在註冊表中找到「HKEY_LOCAL_

　　MACHINESYSTEMCurrentControlSetServices」分支，接著點擊菜單欄中的「安全→許可權」，在彈出的Services許可權設置窗口中單擊「添加」按鈕，將Everyone賬號導入進來，然後選中「Everyone」賬號，將該賬號的「讀取」許可權設置為「允許」，將它的「完全控制」許可權取消(圖3)。現在任何木馬或病毒都無法自行啟動系統服務了。當然，該方法只對沒有獲得管理員許可權的病毒和木馬有效。

　　

　　9.不準病毒自行啟動

　　

　　安全隱患:很多病毒都是通過註冊表中的RUN值進行載入而實現隨操作系統的啟動而啟動的，我們可以按照「禁止病毒啟動服務」中介紹的方法將病毒和木馬對該鍵值的修改許可權去掉。

　　解決方法:運行「regedt32」指令啟動註冊表編輯器。找到註冊表中的「HKEY_CURRENT_MACHINESO

　　FTWAREMicrosoftWindowsCurrentVersionRUN」分支，將Everyone對該分支的「讀取」許可權設置為「允許」，取消對「完全控制」許可權的選擇。這樣病毒和木馬就無法通過該鍵值啟動自身了。

　　病毒和木馬是不斷「發展」的，我們也要不斷學習新的防護知識，才能抵禦病毒和木馬的入侵。與其在感染病毒或木馬後再進行查殺，不如提前做好防禦工作，修築好牢固的城牆進行抵禦。畢竟亡羊補牢不是我們所希望發生的事情，「防患於未然」才是我們應該追求的。

謝kent版主！我是電腦新手，不敢碰註冊表！