打印本文 关闭窗口 | |
用注册表为操作系统砌九堵安全墙 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:11:24 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
然而,正因为登录档案的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此,偷偷摸摸地干着罪恶勾当,威胁着原本健康 的操作系统。如何才能有效地防范病毒和木马的侵袭,保证系统的正常执行呢?今天笔者将从服务、预设设定、权限分配等九个方面入手为大家 介绍如何通过登录档案打造一个安全的系统。 特别提示:在进行修改之前,一定要备份原有登录档案。 1.拒绝“信”骚扰 安全隐患:在Windows 2000/XP系统中,预设Messenger服务处于激活状态,不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。 解决方法:首先打开登录档案编辑器。对于系统服务来说,我们可以通过登录档案中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service s”项下的各个选项来进行管理,其中的每个子键就是系统中对应的“服务”,如“Messenger”服务对应的子键是“Messenger”。我们只 要找到Messenger项下的START键值,将该值修改为4即可。这样该服务就会被禁用,用户就再也不会受到“信”骚扰了。 2.关闭“远程登录档案服务” 安全隐患:如果骇客连接到了我们的计算机,而且计算机启用了远程登录档案服务(Remote Registry),那么骇客就可远程设定登录档案中的服务,因此远程登录档案服务需要特别保护。 解决方法:我们可将远程登录档案服务(Remote Registry)的激活方式设定为禁用。不过,骇客在入侵我们的计算机后,仍然可以通过简单的操作将该服务从“禁用”转换为“自动激活”。因 此我们有必要将该服务删除。 找到登录档案中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”下的RemoteRegistry项,右键点击该项选择“删除”,将该项删除后就无法激活该服务了。 在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的登录档案档案导入即可。 3.请走“预设共享” 安全隐患:大家都知道在Windows 2000/XP/2003中,系统预设开启了一些“共享”,它们是IPC$、c$、d$、e$和admin$。很多骇客和病毒都是通过这个预设共享入侵操作系统的 。 解决方法:要防范IPC$攻击应该将登录档案中“HKEY_LOCAL_MACHI NE\SYSTEM\CurrentControlSet\Control\LSA”的RestrictAnonymous项设定为“1”,这样就可以禁止IPC$的连接。 对于c$、d$和admin$等类型的预设共享则需要在登录档案中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。如果系统为Windows 2000 Server或Windows 2003,则要在该项中新增键值“AutoShareServ er”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中新增键值“AutoSh areWks”(类型为“REG_DWORD”,值为“0”)。 4.严禁系统隐私泄露 安全隐患:在Windows系统执行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在 user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。 解决方法:找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\AeDebug”,将AUTO键值设定为0,现在DR.WATSON就不会记录系统执行时的出错信息了。同时,依次点击“Docume nts and Settings→ALL Users→Docum ents→drwatson”,找到user.dmp和drwtsn32.log档案并删除。删除这两个档案的目的是将DR.WATSON以前保存的隐私信息删除。 提示:如果已经禁止了DR.WATSON程序的执行,则不会找到“drwatson”档案夹以及user.dmp和drwtsn32.log这两个文件。 5.拒绝ActiveX控件的恶意骚扰 安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自执行系统中的程序,从而达到破坏本地系统的目的 。为了保证系统安全,我们应该阻止ActiveX控件私自执行程序。 解决方法:ActiveX控件是通过调用Windows scripting host组件的方式执行程序的,所以我们可以先删除“system32”目录下的wshom.ocx档案,这样ActiveX控件就不能调用Windows scripting host了。然后,在登录档案中找到“HKEY_LOCAL_MACHINE\SOFTWARE\ Classes\CLSID\{F935DC2 2-1CF0-11D0-ADB9-00C04FD58A0B }”,将该项删除。通过以上操作,ActiveX控件就再也无法私自调用脚本程序了。 6.防止页面档案泄密 安全隐患:Windows 2000的页面交换档案也和上文提到的DR.WATSON程序一样经常成为骇客攻击的对象,因为页面档案有可能泄露一些原本在内存中后来却转到硬盘 中的信息。毕竟骇客不太容易检视内存中的信息,而硬盘中的信息则极易被获取。 解决方法:找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management”,将其下的ClearPageFileAtSh utdown项目的值设定为1。这样,每当重新激活后,系统都会将页面档案删除,从而有效防止信息外泄。 7.密码填写不能自动化 安全隐患:使用Windows系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己 的隐私信息外泄。 解决方法:在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies”分支中找到network子项(如果没有可自行新增),在该子项下建立一个新的双字节值, 名称为disablepasswordcaching,并将该值设定为1。重新激活计算机后,操作系统就不会自作聪明地记录密码了。 8.禁止病毒激活服务 安全隐患:现在的病毒很聪明,不像以前只会通过登录档案的RUN值或MSCONFIG中的项目进行加载。一些进阶病毒会通过系统服务进行加载。 那么,我们能不能使病毒或木马没有激活服务的相应权限呢? 解决方法:执行“regedt32”指令启用带权限分配功能的登录档案编辑器。在登录档案中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支,接着点击菜单栏中的“安全→权限”,在弹出的Services权限设定窗口中单击“新 增”按钮,将Everyone帐号导入进来,然后选中“Everyone”帐号,将该帐号的“读取”权限设定为“允许”,将它的“完全控制”权限取消 。现在任何木马或病毒都无法自行激活系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。 9.不准病毒自行激活 安全隐患:很多病毒都是通过登录档案中的RUN值进行加载而实现随操作系统的激活而激活的,我们可以按照“禁止病毒激活服务”中介绍的 方法将病毒和木马对该键值的修改权限去掉。 解决方法:执行“regedt32”指令激活登录档案编辑器。找到登录档案中的“HKEY_CURRENT_MACHINE\SO FTWARE\Microsoft\Windows\CurrentVersion\RUN”分支,将Everyone对该分支的“读取”权限设定为“允许”,取消对“完全控制”权限 的选择。这样病毒和木马就无法通过该键值激活自身了。 病毒和木马是不断“发展”的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如 提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,“防患于未然”才是我们应该追求的。 【责任编辑:李旭海】 |
|
打印本文 关闭窗口 |