用注册表为操作系统砌九堵安全墙

　　众所周知，操作系统的注册表是一个藏龙卧虎的地方，所有系统设置都可以在注册表中找到踪影，所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。

　　然而，正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭，保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。

　　特别提示:在进行修改之前，一定要备份原有注册表。

　　1.拒绝“信”骚扰

　　安全隐患:在Windows 2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。

　　解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中“HKEY_LOCAL_MACHI

　　NE\SYSTEM\CurrentControlSet\Service

　　s”项下的各个选项来进行管理，其中的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受到“信”骚扰了。

　　2.关闭“远程注册表服务”

　　安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(Remote Registry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。

　　解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。

　　找到注册表中“HKEY_LOCAL_

　　MACHINE\SYSTEM\CurrentControlSet

　　\Services”下的RemoteRegistry项，右键点击该项选择“删除”，将该项删除后就无法启动该服务了。

　　在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。

　　3.请走“默认共享”


　　安全隐患:大家都知道在Windows 2000/XP/2003中，系统默认开启了一些“共享”，它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

　　解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHI

　　NE\SYSTEM\CurrentControlSet\Control

　　\LSA”的RestrictAnonymous项设置为“1”，这样就可以禁止IPC$的连接。

　　对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\

　　CurrentControlSet\Services\LanmanServ

　　er\Parameters”项。如果系统为Windows 2000 Server或Windows 2003，则要在该项中添加键值“AutoShareServ

　　er”(类型为“REG_DWORD”，值为“0”)。如果系统为Windows 2000 PRO，则应在该项中添加键值“AutoSh

　　areWks”(类型为“REG_DWORD”，值为“0”)。

　　4.严禁系统隐私泄露

　　安全隐患:在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。

　　解决方法:找到“HKEY_LOACL_

　　MACHINE\SOFTWARE\Microsoft\Win

　　dows NT\ CurrentVersion\AeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。同时，依次点击“Docume

　　nts and Settings→ALL Users→Docum

　　ents→drwatson”，找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。

　　提示:如果已经禁止了DR.WATSON程序的运行，则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。