常用注册表安全要点

请注意：在修改注册表前先做好备份，以备出错和还原的时候要用，这是必须的。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

一、保护注册表：

禁止对注册表的远程访问： 在服务那里禁用远程管理注册表

把 Remote Registry 这一项服务器停了（使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。）你可以查看一下是没有任何服务依存它的，所以你放心停止这个服务。

 

二、防范共享*** ( 如果是局域网，不建议关闭这个端口 , 只要在出外网的防火墙关闭这端口就行了）

　　大家知道，如果系统的 139 端口开放，则计算机就会泄露你的机器的一些信息，其中第一行中的 nb

便是这台计算机的机器名， workgroup 则说明这台机器是工作组模式。最后一行还列出了机器的 mac 地

址（网卡地址）。

 

　　事实上，对于 windows9x 来说，共享***的实现离不开 139 端口的开放，而对于 windows 2000 来说

，在查看共享资源的时候，系统会先尝试连接 139 端口。如果 139 端口关闭的话，就会尝试 445 端口的连

接（在***进行 ipc$ ***时同样离不开它们），所以防范共享***不仅要关闭 139 端口，还要关闭 445

端口。把它们都关闭就可以防范别人通过共享来***你的电脑，同时也可以防止别人通过 ipc$ ***，

因为 ipc$ ***也离不开 139 和 445 端口的支持。

 

　　关闭 139 端口非常简单，通过防火墙来屏蔽 netbios 对应的 139 端口，这样别人就无法***我们了。

而关闭 445 端口，则可以通过修改注册表来实现，方法是：在 “ 开始 ” 菜单的 “ 运行 ” 中输入 regedit

，打开注册表编辑器。然后展开到这里：

hkey_local_machine\system\currentcontrolset\services\netbt\parameters ，在它的下面新建一个

dword 值 smbdeviceenabled ，其键值为 1 即可。

 

　三、关闭 windows 默认共享

 

　　用过 windows 2000 的朋友一定知道，默认的情况下，硬盘中所有逻辑分区都是被设置成共享的，

所以有必要关闭这类不用的共享。首先先把已有的 ipc$ 和默认共享都删除删除（默认共享是为了方便

远程管理而开放的共享，包含了所有的逻辑盘 c$,d$,e$…… 和系统目录 winnt 或 windowsadmin$ ），输

入：

 

　　 net share ipc$ /del 　　 net share admin$ /del 　　 net share c$ /del 　　 net share c$

/del 　　 …………

 

　　然后，用记事本编辑如下内容的注册表文件，保存为任意名字的 .reg 文件即可：

 

　　 windows registry editor version 5.00

 

　　 [hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters] 　

　 "autoshareserver"=dword:00000000 　　 "autosharewks"=dword:00000000

 

　　注意，在最后面一定要空上一行才行！

 

   四、禁止 ADMIN$ 缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

 

"AutoShareWks"=REG_DWORD ： 00000000

 

     五、限制 IPC$ 缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

 

"restrictanonymous"=REG_DWORD 00000000 缺省

0×1 匿名用户无法列举本机用户列表

0×2 匿名用户无法连接本机 IPC$ 共享

说明 : 不建议使用 2 ，否则可能会造成你的一些服务无法启动，如 SQL Server

 

    六、废除***功能（这个建议使用在那些不需要多建立用户的服务器上为好）

   ***危害，虽然手段繁多，但是万变不离其宗，其中必需的步骤是在你的系统里建立管理员用户。

本文就是从这一环节入手，阻止***建立用户。这样，即便你的电脑已经感染了***病毒，但是由于

不能建立用户，***就不能发挥远程控制的功能。换句话说，就是废了它，让他变成垃圾。当然，垃

圾也需要清理，但这已经不在本文的讨论范围之内了。

 

   打开其中目录 HKEY_LOCAL_MACHINE  \ SAM  \ SAM  \Domains \Account \ Groups

好了，就是这个 Groups 就是负责建立用户的。 ( 注意，在进行下一步操作之前，你先要对 Groups 进行

备份，必要的时候，可以还原。 ) 删掉它，系统就不能建立用户了。无论***怎样折腾，都无法建立用

户，更谈不上提升为管理员了。这个目录里的文件如果被删除，是没有办法还原的。

备份方法：右键点击 Groups 选择 “ 导出 ” ，给导出的文件起个名字，保存好，就可以了。

 

   七、禁用注册表（这个根据自己系统需要来做）

《禁止使用注册表编辑器 regedit.exe 》

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=REG_DWORD   00000001

 

    八、注册表解锁

把下面的那段代码复制到记事本上，并保存为 .inf 文件，再安装就可以解开被锁住的注册表了

[Version]

 

Signature=“$<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />CHICAGO$”

 

[DefaultInstall]

 

DelReg=del

 

[del]

 

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System

 

Disableregistrytools,

 

1,00,00,00,00 

这个其中的一中解锁方法，要想知道别的，请到网上去找，还有很多

 

这两天总结了一下，写出几个对注册表有安全作用的几个要点。如果你对注册表安全还有更好的解决方案或要点，请多多指点和留言哦，谢谢！

 

 

 

 

 

 

 

转载于:https://blog.51cto.com/ejunren/126581