【正文】 理員權(quán)限的病毒和木馬有效。 注冊(cè)表使用技巧 禁止病毒啟動(dòng)服務(wù) 安全隱患 :高級(jí)病毒會(huì)通過(guò)系統(tǒng)服務(wù)進(jìn)行加載。 注冊(cè)表使用技巧 對(duì)于 c$、 d$和 admin$等類型的默認(rèn)共享 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項(xiàng)。很多黑客和病毒都是通過(guò)這個(gè)默認(rèn)共享入侵操作系統(tǒng)的。 注冊(cè)表 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry項(xiàng)， 右鍵點(diǎn)擊該項(xiàng)選擇 刪除 ，將該項(xiàng)刪除后就無(wú)法啟動(dòng)該服務(wù)了。為了避免黑客在入侵我們的計(jì)算機(jī)后，將該服務(wù)從 “禁用 ”轉(zhuǎn)換為 “自動(dòng)啟動(dòng) ”。 注冊(cè)表使用技巧 關(guān)閉 遠(yuǎn)程注冊(cè)表服務(wù) 安全隱患 :如果黑客連接到了我們的計(jì)算機(jī)，而且計(jì)算機(jī)啟用了遠(yuǎn)程注冊(cè)表服務(wù) (Remote Registry)，那么黑客就可遠(yuǎn)程設(shè)置注冊(cè)表中的服務(wù)，因此遠(yuǎn)程注冊(cè)表服務(wù)需要特別保護(hù)。 解決方法 :注冊(cè)表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”項(xiàng)下的進(jìn)行管理，其中的每個(gè)子鍵就是系統(tǒng)中對(duì)應(yīng)的“服務(wù) ” “Messenger”服務(wù)對(duì)應(yīng)的子鍵是 “Messenger” 。 注冊(cè)表使用技巧 關(guān)閉“ Messenger”服務(wù) 安全隱患 :在 Windows2023/XP系統(tǒng)中，默認(rèn) Messenger服務(wù)處于啟動(dòng)狀態(tài)，不懷好意者可通過(guò) send指令向目標(biāo)計(jì)算機(jī)發(fā)送信息。 \.default\software\microsoft\windows\currentVersion\applets 保存 Windows應(yīng)用程序的記錄數(shù)據(jù)。清除文檔菜單時(shí)將被清空。 \.Default\so..\mi..\wi..\currentVersion\ex..\menuOrder\startMenu保留程序菜單排序信息。 注冊(cè)表部分重要內(nèi)容 3 （四） HKEY_USERS \.Default\software\microsoft\inter explorer\typeURLs保存 URL地址列表信息。 \software\microsoft\windows\currentVersion\Policies\Ratings 保存 “安全” \“分級(jí)審查”中設(shè)置的口令 (數(shù)據(jù)加密 ),若遺忘了口令 ,刪除 Ratings 中的數(shù)據(jù)即可解決問(wèn)題。 \software\microsoft\windows\currentVersion\run 保存由控制面板設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱，其圖標(biāo)顯示在任務(wù)條右邊。 \system\CurrentControlSet\control\update 設(shè)置刷新方式。 \software\microsoft\windows\currentVersion\uninstall 保存已安裝的 Windows應(yīng)用程序卸載信息。 注冊(cè)表部分重要內(nèi)容 2 （三） HKEY_LOCAL_MACHINE \software\microsoft\windows\currentVersion\explorer\user shell folders 保存?zhèn)€人文件夾、收藏夾的路徑。 (二 )HKEY_CURRENT_USER \Control Panel\Desktop 中新建串值名 MenuShowDelay=0 可使“開始”菜單中子菜單的彈出速度提高。 注冊(cè)表部分重要內(nèi)容 1 (一 )HKEY_CLASS_ROOT 擊窗口右側(cè)的默認(rèn)字符串，在打開的對(duì)話框中刪除原來(lái)的“鍵值”，輸入 %1。 該根鍵存放了系統(tǒng)在運(yùn)行時(shí)動(dòng)態(tài)數(shù)據(jù)，此數(shù)據(jù)在每次顯示時(shí)都是變化的，因此，此根鍵下的信息沒(méi)有放在注冊(cè)表中。 該根鍵中的許多子鍵與 。 注冊(cè)表結(jié)構(gòu)劃分 2 根據(jù)在 Windows 98中文版中安裝的應(yīng)用程序的擴(kuò)展名 ,該根鍵指明其文件類型的名稱。 該根鍵存放著定義當(dāng)前用戶桌面配置 (如顯示器等 )的數(shù)據(jù) ,最后使用的文檔列表（ MRU）和其他有關(guān)當(dāng)前用戶的Windows 98中文版的安裝的信息。 該根鍵包含本地工作站中存放的當(dāng)前登錄的用戶信息 ,包括用戶登錄用戶名和暫存的密碼 (注：此密碼在輸入時(shí)是隱藏的 )。每個(gè)用戶的預(yù)配置信息都存儲(chǔ)在HKEY_USERS根鍵中。如果該注冊(cè)表由于某種原因受到了破壞，會(huì)使 Windows的啟動(dòng)過(guò)程出現(xiàn)異常，嚴(yán)重的可能會(huì)導(dǎo)致整個(gè) Windows系統(tǒng)的完全癱瘓。桌面終端安全防護(hù)策略 大綱 終端安全與注冊(cè)表 終端安全與安全策略 終端安全管理 數(shù)據(jù)防泄密 標(biāo)準(zhǔn)個(gè)人計(jì)算機(jī)桌面環(huán)境 終端安全與注冊(cè)表 什么是注冊(cè)表 Windows注冊(cè)表是幫助 Windows控制硬件、軟件、用戶環(huán)境和 Windows界面的一套數(shù)據(jù)文件，注冊(cè)表包含在 Windows目錄下兩個(gè)文件 ，還有它們的備份 。 從 Windows 95開始， Microsoft在 Windows中引入了注冊(cè)表（英文為 REGISTRY）的概念（實(shí)際上原來(lái)在 Windows NT中已有此概念）。 如何打開注冊(cè)表 在修復(fù)注冊(cè)表前請(qǐng)備份 , 點(diǎn)“開始” →運(yùn)行 →輸入“ regedit”→確定 注冊(cè)表結(jié)構(gòu)劃分 1 該根鍵保存了存放在本地計(jì)算機(jī)口令列表中的用戶標(biāo)識(shí)和密碼列表。 HKEY_USERS是遠(yuǎn)程計(jì)算機(jī)中訪問(wèn)的根鍵之一。用戶登錄 Windows 98時(shí)，其信息從 HKEY_USERS中相應(yīng)的項(xiàng)拷貝到 HKEY_CURRENT_USER中。為HKEY_CURRENT_CONFIG子關(guān)鍵字之間的連接情況。 該根鍵存放本地計(jì)算機(jī)硬件數(shù)據(jù) ,此根鍵下的子關(guān)鍵字包括在 ,用來(lái)提供 HKEY_LOCAL_MACHINE所需的信息 ,或者在遠(yuǎn)程計(jì)算機(jī)中可訪問(wèn)的一組鍵中。圖 7顯示了 HKEY_LOCAL_MACHINE根鍵下的各個(gè)子鍵之間的情況。顯示了 HKEY_DYN_DATA根鍵下的各個(gè)子鍵的情況。重新啟動(dòng)后，在“我的電腦”中打開 Windows目錄，選擇“大圖標(biāo)”，然后你看到的 Bmp文件的圖標(biāo)再也不是千篇一律的 MSPAINT圖標(biāo)了，而是每個(gè)Bmp文件的略圖（前提是未安裝 ACDSee等看圖軟件）。 HKEY_CURRENT_USER\Control Panel\Desktop\WindowsMeterics中新建串值名 MinAnimate，值為 1啟動(dòng)動(dòng)畫效果開關(guān)窗口，值為 0取消動(dòng)畫效果。 \system\currentControlSet\control\keyboard Layouts 保存鍵盤使用的語(yǔ)言以及各種中文輸入法。 \system\CurrentControlSet\services\class 保存控制面板 增添硬件設(shè)備 設(shè)備類型目錄。值為 00設(shè)置為自動(dòng)刷新， 01設(shè)置為手工刷新 [在資源管理器中按 F5]。在“啟動(dòng)” 文件夾程序運(yùn)行時(shí)圖標(biāo)也在任務(wù)條右邊。 \software\microsoft\windows\currentVersion\explorer\desktop\nameSpace 保存桌面中特殊的圖標(biāo) ,如回收站、收件箱、 MS Network等。清除文檔菜單時(shí)將被清空。 \.Default\so..\microsoft\windows\currentVersion\explorer\RunMRU保存“開始 \ 運(yùn)行 ...”中運(yùn)行的程序列表信息。 \.Default\so..\microsoft\windows\currentVersion\explorer\RecentDocs 保存最近使用的十五個(gè)文檔的快捷方式 (刪除掉可解決文檔名稱重復(fù)的毛病 )，清除文檔菜單時(shí)將被清空。 \.default\software\microsoft\windows\currentVersion\run保存由用戶設(shè)定的計(jì)算機(jī)啟動(dòng)時(shí)運(yùn)行程序的名稱，其圖標(biāo)顯示在任務(wù)條右側(cè)。目標(biāo)計(jì)算機(jī)會(huì)不時(shí)地收到他人發(fā)來(lái) 的騷擾信息，嚴(yán)重影響正常使用。 START鍵值，將該值修改為 4即可。 解決方法 :將遠(yuǎn)程注冊(cè)表服務(wù) (Remote Registry)的啟動(dòng)方式設(shè)置為禁用。因此我們有必要將該服務(wù)刪除。 注冊(cè)表使用技巧 關(guān)閉默認(rèn)共享 安全隱患 :在 Windows 2023/XP/2023中，系統(tǒng)默認(rèn)開啟了一些 “共享 ”，它們是 IPC$、 c$、 d$、 e$和 admin$。 解決方法 :要防范 IPC$攻擊應(yīng)該將注冊(cè)表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的 RestrictAnonymous項(xiàng)設(shè)置為 “1”，禁止 IPC$的連接。 Windows 2023 Server或 Windows 2023，在該項(xiàng)中添加鍵值 AutoShareServer(類型為REG_DWORD，值為 0)。 解決方法 :運(yùn)行 “regedt32”指令啟用帶權(quán)限分配功能 的注冊(cè)表編輯器。 注冊(cè)表使用技巧 禁止病毒運(yùn)行 安全隱患 :很多病毒都是通過(guò)注冊(cè)表中的RUN值進(jìn)行加載而實(shí)現(xiàn)隨操作系統(tǒng)的啟動(dòng)而啟動(dòng)的，我們可以按照 “禁止病毒啟動(dòng)服務(wù) ”中介紹的方法將病毒和木馬對(duì)該鍵值的修改權(quán)限去掉。注冊(cè)表HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN分支 將 Everyone對(duì)該分支的 讀取 權(quán)限設(shè)置為 允許 ，取消對(duì) 完全控制 權(quán)限的選擇。 2)展開注冊(cè)表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InterExplorer\Main下 ,在右半部分窗口中找到串值“ StartPage”雙擊 ,將 StartPage的鍵值改為“ about:blank”即可 。 Win7系統(tǒng)中備份注冊(cè)表的方法 終端安全與安全策略 建立 安全的 Windows客戶端 本地策略設(shè)置 本地策略設(shè)置可以通過(guò)本地安全策略控制臺(tái)或基于 Active Directory 域的 GPO 在運(yùn)行 Windows XP Professional 的任何計(jì)算機(jī)上進(jìn)行配置。 審核策略設(shè)置 審核策略確定要向管理員報(bào)告的安全事件，以便記錄具有指定事件類別的用戶或系統(tǒng)活動(dòng)?；谒羞@些原因， Microsoft 建議您為管理員創(chuàng)建一個(gè)可在您的環(huán)境中實(shí)施的審核策略。這些事件是在對(duì)于憑據(jù)具有權(quán)威性的計(jì)算機(jī)上發(fā)生的。在域環(huán)境中，大多數(shù)帳戶登錄事件在對(duì)于域帳戶具有權(quán)威性的域控制器的安全日志中發(fā)生。 “審核帳戶登錄事件”設(shè)置僅針對(duì) EC 環(huán)境配置為“成功”；而對(duì)于 SSLF 環(huán)境則配置為“成功”和“失敗”。如果啟用此審核策略設(shè)置，管理員可以跟蹤事件，以檢測(cè)惡 意創(chuàng)建、意外創(chuàng)建和授權(quán)創(chuàng)建用戶帳戶和組帳戶的情況。 審核目錄服務(wù)訪問(wèn) 啟用此策略設(shè)置只是為了對(duì)域控制器執(zhí)行審核任務(wù)。此策略設(shè)置不適用于運(yùn)行 Windows XP Professional 的計(jì)算機(jī)。 審核登錄事件 此策略設(shè)置生成記錄創(chuàng)建和銷毀登錄會(huì)話的事件。為進(jìn)行交互式登錄，將在所登錄的計(jì)算機(jī)上生成這些事件。 建立 安全的 Windows客戶端 如果將“審核登錄事件”設(shè)置配置為“無(wú)審核”，則很難或無(wú)法確定哪些用戶訪問(wèn)或嘗試訪問(wèn)了組織中的計(jì)算機(jī)。對(duì)于 SSLF 環(huán)境，請(qǐng)將此策略設(shè)置配置為“成功”和“失敗”事件。它確定是否審核