然而，正因?yàn)樽?cè)表的強(qiáng)大使得它也成為了一個(gè)藏污納垢的地方。病毒和木馬常常寄生在此，偷偷摸摸地干著罪惡勾當(dāng)，威脅著原本健康的操作系統(tǒng)。如何才能有效地防范病毒和木馬的侵襲，保證系統(tǒng)的正常運(yùn)行呢?今天筆者將從服務(wù)、默認(rèn)設(shè)置、權(quán)限分配等九個(gè)方面入手為大家介紹如何通過(guò)注冊(cè)表打造一個(gè)安全的系統(tǒng)。

特別提示:在進(jìn)行修改之前，一定要備份原有注冊(cè)表。

1.拒絕“信”騷擾

安全隱患:在Windows 2000/XP系統(tǒng)中，默認(rèn)Messenger服務(wù)處于啟動(dòng)狀態(tài)，不懷好意者可通過(guò)“net send”指令向目標(biāo)計(jì)算機(jī)發(fā)送信息。目標(biāo)計(jì)算機(jī)會(huì)不時(shí)地收到他人發(fā)來(lái)的騷擾信息，嚴(yán)重影響正常使用。

解決方法:首先打開(kāi)注冊(cè)表編輯器。對(duì)于系統(tǒng)服務(wù)來(lái)說(shuō)，我們可以通過(guò)注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”項(xiàng)下的各個(gè)選項(xiàng)來(lái)進(jìn)行管理，其中的每個(gè)子鍵就是系統(tǒng)中對(duì)應(yīng)的“服務(wù)”，如“Messenger”服務(wù)對(duì)應(yīng)的子鍵是“Messenger”。我們只要找到Messenger項(xiàng)下的START鍵值，將該值修改為4即可。這樣該服務(wù)就會(huì)被禁用，用戶就再也不會(huì)受到“信”騷擾了。

2.關(guān)閉“遠(yuǎn)程注冊(cè)表服務(wù)”

安全隱患:如果黑客連接到了我們的計(jì)算機(jī)，而且計(jì)算機(jī)啟用了遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry)，那么黑客就可遠(yuǎn)程設(shè)置注冊(cè)表中的服務(wù)，因此遠(yuǎn)程注冊(cè)表服務(wù)需要特別保護(hù)。

解決方法:我們可將遠(yuǎn)程注冊(cè)表服務(wù)(Remote Registry)的啟動(dòng)方式設(shè)置為禁用。不過(guò)，黑客在入侵我們的計(jì)算機(jī)后，仍然可以通過(guò)簡(jiǎn)單的操作將該服務(wù)從“禁用”轉(zhuǎn)換為“自動(dòng)啟動(dòng)”。因此我們有必要將該服務(wù)刪除。

找到注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的RemoteRegistry項(xiàng)，右鍵點(diǎn)擊該項(xiàng)選擇“刪除”(圖1)，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了。

在刪除之前，一定要將該項(xiàng)信息導(dǎo)出并保存。想使用該服務(wù)時(shí)，只要將已保存的注冊(cè)表文件導(dǎo)入即可。

3.請(qǐng)走“默認(rèn)共享”

安全隱患:大家都知道在Windows 2000/XP/2003中，系統(tǒng)默認(rèn)開(kāi)啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過(guò)這個(gè)默認(rèn)共享入侵操作系統(tǒng)的。

解決方法:要防范IPC$攻擊應(yīng)該將注冊(cè)表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的RestrictAnonymous項(xiàng)設(shè)置為“1”，這樣就可以禁止IPC$的連接。

對(duì)于c$、d$和admin$等類型的默認(rèn)共享則需要在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”項(xiàng)。如果系統(tǒng)為Windows 2000 Server或Windows 2003，則要在該項(xiàng)中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows 2000 PRO，則應(yīng)在該項(xiàng)中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。

4.嚴(yán)禁系統(tǒng)隱私泄露

安全隱患:在Windows系統(tǒng)運(yùn)行出錯(cuò)的時(shí)候，系統(tǒng)內(nèi)部有一個(gè)DR.WATSON程序會(huì)自動(dòng)將系統(tǒng)調(diào)用的隱私信息保存下來(lái)。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過(guò)破解這個(gè)程序而了解系統(tǒng)的隱私信息。因此我們要阻止該程序?qū)⑿畔⑿孤冻鋈ァ?

解決方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionAeDebug”，將AUTO鍵值設(shè)置為0，現(xiàn)在DR.WATSON就不會(huì)記錄系統(tǒng)運(yùn)行時(shí)的出錯(cuò)信息了。同時(shí)，依次點(diǎn)擊“Documents and Settings→ALL Users→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并刪除。刪除這兩個(gè)文件的目的是將DR.WATSON以前保存的隱私信息刪除。

提示:如果已經(jīng)禁止了DR.WATSON程序的運(yùn)行，則不會(huì)找到“drwatson”文件夾以及user.dmp和drwtsn32.log這兩個(gè)文件。

5.拒絕ActiveX控件的惡意騷擾

安全隱患:不少木馬和病毒都是通過(guò)在網(wǎng)頁(yè)中隱藏惡意ActiveX控件的方法來(lái)私自運(yùn)行系統(tǒng)中的程序，從而達(dá)到破壞本地系統(tǒng)的目的。為了保證系統(tǒng)安全，我們應(yīng)該阻止ActiveX控件私自運(yùn)行程序。

解決方法:ActiveX控件是通過(guò)調(diào)用Windows scripting host組件的方式運(yùn)行程序的，所以我們可以先刪除“system32”目錄下的wshom.ocx文件，這樣ActiveX控件就不能調(diào)用Windows scripting host了。然后，在注冊(cè)表中找到“HKEY_LOCAL_MACHINESOFTWARE ClassesCLSID{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，將該項(xiàng)刪除。通過(guò)以上操作，ActiveX控件就再也無(wú)法私自調(diào)用腳本程序了。

6.防止頁(yè)面文件泄密

安全隱患:Windows 2000的頁(yè)面交換文件也和上文提到的DR.WATSON程序一樣經(jīng)常成為黑客攻擊的對(duì)象，因?yàn)轫?yè)面文件有可能泄露一些原本在內(nèi)存中后來(lái)卻轉(zhuǎn)到硬盤(pán)中的信息。畢竟黑客不太容易查看內(nèi)存中的信息，而硬盤(pán)中的信息則極易被獲取。

解決方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management”，將其下的ClearPageFileAtShutdown項(xiàng)目的值設(shè)置為1(圖2)。這樣，每當(dāng)重新啟動(dòng)后，系統(tǒng)都會(huì)將頁(yè)面文件刪除，從而有效防止信息外泄。

7.密碼填寫(xiě)不能自動(dòng)化

安全隱患:使用Windows系統(tǒng)沖浪時(shí)，常會(huì)遇到密碼信息被系統(tǒng)自動(dòng)記錄的情況，以后重新訪問(wèn)時(shí)系統(tǒng)會(huì)自動(dòng)填寫(xiě)密碼。這樣很容易造成自己的隱私信息外泄。

解決方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies”分支中找到network子項(xiàng)(如果沒(méi)有可自行添加)，在該子項(xiàng)下建立一個(gè)新的雙字節(jié)值，名稱為disablepasswordcaching，并將該值設(shè)置為1。重新啟動(dòng)計(jì)算機(jī)后，操作系統(tǒng)就不會(huì)自作聰明地記錄密碼了。

8.禁止病毒啟動(dòng)服務(wù)

安全隱患:現(xiàn)在的病毒很聰明，不像以前只會(huì)通過(guò)注冊(cè)表的RUN值或MSCONFIG中的項(xiàng)目進(jìn)行加載。一些高級(jí)病毒會(huì)通過(guò)系統(tǒng)服務(wù)進(jìn)行加載。那么，我們能不能使病毒或木馬沒(méi)有啟動(dòng)服務(wù)的相應(yīng)權(quán)限呢?

解決方法:運(yùn)行“regedt32”指令啟用帶權(quán)限分配功能的注冊(cè)表編輯器。在注冊(cè)表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，接著點(diǎn)擊菜單欄中的“安全→權(quán)限”，在彈出的Services權(quán)限設(shè)置窗口中單擊“添加”按鈕，將Everyone賬號(hào)導(dǎo)入進(jìn)來(lái)，然后選中“Everyone”賬號(hào)，將該賬號(hào)的“讀取”權(quán)限設(shè)置為“允許”，將它的“完全控制”權(quán)限取消(圖3)。現(xiàn)在任何木馬或病毒都無(wú)法自行啟動(dòng)系統(tǒng)服務(wù)了。當(dāng)然，該方法只對(duì)沒(méi)有獲得管理員權(quán)限的病毒和木馬有效。

9.不準(zhǔn)病毒自行啟動(dòng)

安全隱患:很多病毒都是通過(guò)注冊(cè)表中的RUN值進(jìn)行加載而實(shí)現(xiàn)隨操作系統(tǒng)的啟動(dòng)而啟動(dòng)的，我們可以按照“禁止病毒啟動(dòng)服務(wù)”中介紹的方法將病毒和木馬對(duì)該鍵值的修改權(quán)限去掉。

解決方法:運(yùn)行“regedt32”指令啟動(dòng)注冊(cè)表編輯器。找到注冊(cè)表中的“HKEY_CURRENT_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支，將Everyone對(duì)該分支的“讀取”權(quán)限設(shè)置為“允許”，取消對(duì)“完全控制”權(quán)限的選擇。這樣病毒和木馬就無(wú)法通過(guò)該鍵值啟動(dòng)自身了。

病毒和木馬是不斷“發(fā)展”的，我們也要不斷學(xué)習(xí)新的防護(hù)知識(shí)，才能抵御病毒和木馬的入侵。與其在感染病毒或木馬后再進(jìn)行查殺，不如提前做好防御工作，修筑好牢固的城墻進(jìn)行抵御。畢竟亡羊補(bǔ)牢不是我們所希望發(fā)生的事情，“防患于未然”才是我們應(yīng)該追求的。