警花白艳燕妮完整版:关于注册表的问题

ControlSet001、ControlSet002和CurrentControlSet三个主键是系统启动时要调用的三个控件，它们的子项一样说明它们之间是有关联的，一般启动时使用CurrentControlSet中的设置引导计算机。如果启动成功一次，它就将 CurrentControlSet和ControlSet001（ControlSet001是系统的默认启动加载项）中的数据复制到 ControlSet002 中。系统运行期间，如果安装了新驱动或对配置进行了更改，所作的更改就会写入CurrentControlSet和 ControlSet001中。如果下次启动时出现问题，选择高级启动菜单上“最后一次的正确配置”命令使系统调用ControlSet002中的数据，即可以恢复出现问题之前的状态。

读起来有点拗口，不过意思大致明确，还望见谅。

Windows 2000/XP系统消除默认共享
注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices
\Lanmanworkstation\parameters”，“AutoShareWKs”双字节值，并将其值设为“0”，重启。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，安全级别定义“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，点击“确定”。

删掉不必要的协议
对于服务器和主机，一般只装TCP/IP协议就。鼠标右击“网络邻居”，选“属性”，鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选“WINS”标签，选“禁用TCP/IP上的NETBIOS”，关闭NETBIOS。
禁止文件和打印共享
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD键值，名为“NoFileSharingControl”，键值设为“1”表示禁止该功能，键值为“0”表示允许该功能。

禁用GUEST帐号
打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。把默认的Administrator账号改名，换密码。

禁止建立空连接
方法一：修改注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”，将DWORD值“RestrictAnonymous”键值改为“1”。

做好IE的安全设置
禁止恶意代码的运行：“工具”→“Internet选项”→“安全”→“自定义级别”，建议把ActiveX控件与相关选项禁用。

设置我的电脑的安全级别把WIN隐藏项目调出来打开注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口找DWORD值“Flags”，双击“Flags”，在弹出的对话框中将它的键值改为“1”。重新打开IE，再点“工具→Internet选项→安全”标签，多了一个“我的电脑”图标，你可以设定它的安全等级。等级设高点。

根据进程名查杀
通过WinXP系统taskkill命令实现，首先打开系统进程列表界面，找到病毒进程对应的具体进程名。不会有人不会吧?就是按CTRL+ALT+DEL吖。。。找到陌生进程。。。
然后点“开始→运行”运行“cmd”命令；再在DOS命令行中输入“taskkill /im xxx”格式的字符串命令，单击回车，病毒进程“xxx”就被强行杀了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令就行。
当机器中远程等控制时，杀毒软件以及防火墙可能有无效的情况，进程怎么都关不了，而且PID值不段变化，只有用到“taskkill /F /IM *****.exe”来强行关闭进程
然后查找注册表中所有以RUN开头的键值，删除陌生启动程序。这样就可以有效的查杀远程进程。

根据进程号查杀
上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒。可以用Win2000以上系统内置命令——ntsd，强行杀病毒进程，该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能关，基本可以关其它一切进程。但是使用该命令杀病毒进程前，要找到对应病毒进程的具体进程号。先打开系统任务管理器窗口，再点“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回系统进程列表页面，你就能查看到对应病毒进程的具体PID了。

接着打开系统运行对话框，运行“cmd”命令，在命提示符状态下输入“ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd -c q -p 444”命令，杀死这个病毒进程。

以下建立值均为DWORD值
1：禁止C$ D$等共象
这些共享默认设置本来是方便用户的,但是却让黑客利用了它,通过修改注册表可以把他禁止了,当然利用命令提示符也可以做到,但是每次开机以后有会恢复.
展开
[HKEY_LOCAL_MACHINE\CurrentControlset\services\Tcpip\Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0,0是不响应
2禁止ADMIN$共享
展开
[HKEY_LOCAL_MACHINE\CurrentControlset\serviceslanmanserver\parameters]分支,新建名为AutoShareWks的键值,将其设置为0的键值项,将其设置为0
3:禁止IPC$共享
展开
[HKEY_LOCAL_MACHINE\CurrentControlset\Control\Lsa]分支,新建名为restrictanonymous的键值将其设置为0或者1或者设置2.设置0
为缺省,1为匿名无法列举本机用户列表.2为匿名用户无法连接.
4:更改3389端口
这个端口我想我不用多说了.大家要特别的防范.
展开
[HKEY_LOCAL_MACHINE\System\currentcontrolset\controlTerminalserver\wds\rdpwd\tds\tcp分支,选中名为portnumber的键值,将其3389改为其他.
[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里应该有一个或者很多类似的子键,一样的改他的值为3389
5关闭445端口
我们经常会被445端口攻击,所以如果不小心的话,黑客也有可能通过这个端口来攻击.
展开
[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\services\NetBT\parmeters]分支新建名为SMBDeviceEnabled的键值,把它设置为0.
修改以后还要打开CMD运行netstatan就会发现445端口已经不在listening里了.
6:防止注册表被匿名访问
一般默认的权限不限制对注册表默认的访问,只有管理员才能有权限对远程的计算机进行访问..如果想对这个进行限制的话可以修改注册表.
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\securepipeservers\winreg]分支,选中名为winreg,单击安全菜单.XP的右键菜单选项选权限,将管理员设置为完全控制,确保不会列出其他用户或组,然后确认
7:禁止空连接
空连接是指没有信任的情况下与服务器建立会话,也可以说是到服务器的匿名访问.为了防止黑客进行空连接可以通过修改注册表来实现
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\LSA]分支,新建一个名为restrictanonymous的键值项,将他设置成1,设置以后重起就可以了
8:防止SYN洪水攻击
SYN洪水攻击保护包括减少SYN-ACK重新传输次数以减少分配资源所保留的时间和路由缓存项资源分配延迟,直接建立连接为止.修改注册表可以防范这个攻击
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\services\tcpip\parameters]分支.选中名为synattackprotect的键值,将键值设置为2默认的是0如果 Synattackprotect=2则AFD的连接指示一直延迟到三路握手完成为止.
9:不支持IGMP协议
在windows98系统下有个bug,就是可以被IGMP蓝屏攻击,修改注册表可以修正这个bug在2000系统没有这个bug通过修改注册表可以去掉这个,以绝后患,其实IGMP是不必要的
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\services\tcpip\parameters]新建名为IGMPLevel的键值项,将其设置为0
10:禁止支持路由功能.
这个设置可以使2000系统具备路由功能,但也会带来一些安全问题,一般的用户应该给予禁止.
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\servers:\tcpip\parameters]分支,新建名为IPEnableRouter的键值项,将其设置为1就可以了默认的是0.
11:修改MAC地址
IP地址被盗用是网络安全防患内容,修改 MAC地址可以在一定程度上防止IP被盗用
展开
[HKEY_LOCAL_MACHINE\System\CurrentControSet\control\class]分支,找到右窗口中键值为网卡的键值项,在其下的0000,0001,0002…的分支中找到名为DriverDesc的键值项,在其下新键一命名为Networkaaddress的键值项,内容为用户想要的MAC值,设置完成后重新启动.