发布时间 : 星期四 文章注册表是Windows操作系统的核心更新完毕开始阅读c88a630ff78a6529647d5370
(15)禁止删除打印机
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Explorer\\中新建一个双字节值项NoDeletePrinter,修改其值为1。
(16)去除“打印机”中的“添加打印机”项
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Explorer\\中新建一个双字节值项NoAddPrinter”,修改其值为1。 (17)禁止“添加打印机向导”中的“浏览网络打印机”项(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Policies\\ Microsoft\\Windows NT\\Printers\\Wizard\\中新建一个双字节值项Downlevel Browse,修改其值为1。 如果用户想添加网络打印机,只能输入网络打印机的URL。 (18)去除“添加/删除”项(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Uninstall\\中新建一个字符串值项NoAddRemovePrograms,修改其值为1。
(19)去除“添加/删除”项中的“更改或删除程序”项(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Uninstall\\中新建一个双字节值项NoRemovePage,修改其值为1。 (20)去除“添加/删除”项中的“添加新程序”项(适用于Windows 2000/XP) 在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Uninstall\\中新建一个双字节值项NoAddPage,修改其值为1。 (21)去除“添加/删除”项中的“添加/删除Windows组件”项(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Uninstall\\中新建一个双字节值项NoWindowsSetupPage,修改其值为1。
(22)去除“添加/删除”项目中“添加新程序”中的“从光盘或软盘添加程序”(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Uninstall\\中新建一个双字节值项NoAddFromCDor Floppy,修改其值为1。
(23)去除“添加/删除”项目中“添加新程序”中的“从Microsoft添加程序”(适用于Windows 2000/XP)
在注册表项HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows\\Current Version\\Policies\\Uninstall\\中新建一个双字节值项NoAddFromInternet,修改其值为1。
5.防范黑客攻击(适用范围:Windows 9x/Me/NT/2000/XP)
注册表中有些参数,设置合适的话可以防范一些黑客技术的攻击。DoS(拒绝服务)攻击是一种常见的黑客攻击方式,其中SYN淹没攻击是DoS中比较常见的。我们在这里给出一个防范SYN攻击的设置方法。 (1)减小等待SYN-ACK包的时间
TCP在发送SYN-ACK包后,首先等待3秒钟,如果仍然没有回应,则将时间加大一倍,从3秒增大到6秒,再重发一次SYN-ACK,然后继续等待回应。重发的次数定义在注册表中的一个双字节值项TcpMaxConnectResponseRetransmissions 里,该值项位于注册表项HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\Tcpip\\Parameters中。默认值为3,表示重发次数为3次,先等待3秒后发送一次,然后等待6秒后发送一次,然后等待12秒发送一次,最后等待24秒,如果仍然接收不到回应,不再继续发送SYN-ACK,而是清除此次连接,并释放所有资源。这样总共经过了45秒钟。值为2表示重发次数为2次,总共的耗费时间为21秒,值为1表示重发次数为1次,总共的耗费时间为9秒。0表示不重发SYN-ACK,耗费时间为3秒。耗费时间越短,SYN攻击造成的影响就相应的要小一些。此值项的默认值为3次。如果系统容易受到SYN淹没攻击,可以将此值项修改为2。
(2)增大NetBT的连接块增加幅度和最大数目
NetBT(基于TCP/IP的NetBIOS)使用139号TCP端口,一般用在微软网络中,例如文件和打印服务。在建立连接时,如果BetBT发现可用的连接块数目小于2个,会自动的再分配可用连接块。
NetBT每次增加的连接块的数目定义在注册表中的双字节值项BacklogIncrement中,该值项位于注册表项注册表项HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\ Services\\NetBt\\Parameters下。默认值为3,最小值为1,最大值位20。增大此值可以在有众多连接时提升性能。每个连接块消耗87个字节。 NetBT最多可以使用的连接块的数目定义在注册表项中双字节值项MaxConnBackLog中,默认为1000个,最大值可以取到40000个。可以适当的增大此参数的值以允许更多的同时连接。
(3)配置动态Bakclog(适用于Windows NT/2000/XP)
对于使用Sockets的Windows服务,如FTP,可以通过配置动态Backlog来提升在网络繁忙时的性能。使用动态Bakclog,系统会预先分配一定的资源用于建立连接,这样就省去了给连接分配资源的时间和CPU消耗。如果需要再增加资源,可以一次性的增加若干个连接所需的资源空间。
在注册表项HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\AFD\\Parameters中新建下面的双字节值项:
EnableDynamicBacklog,该值项的默认值为0,表示是否允许动态Backlog。默认值为0。对于网络繁忙或者易遭受SYN攻击的系统,建议设置为1,表示允许动态Backlog。
MinimumDynamicBacklog,该值项的默认值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN攻击的系统,建议设置为20。
MaximumDynamicBacklog,该值项的默认值为0,表示定义最大\准\连接的数目。\准\连接包括自由连接和半连接。对于网络繁忙或者易遭受SYN攻击的系统,应该设置此值,大小取决于内存的多少。一般来说,每32M内存最大可以增加5000个。
DynamicBacklogGrowthDelta,该值项的默认值为5,表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击的系统,建议设置为10。 (4)启用SYN淹没攻击保护特性(适用于Windows 2000/XP)
Windows 2000/XP针对SYN淹没攻击提供了一个叫做SYN淹没攻击保护的特性。当出现了SYN淹没攻击的征兆时,Windows 2000/XP自动降低对那些无法确认的连接请求的响应时间。
在注册表项HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters中新建下面的双字节值项:
SynAttackProtect,该值项的默认值为0,表示定义是否允许SYN淹没攻击保护特性。保证该值为1,表示允许启用SYN淹没攻击保护特性。
TcpMaxConnectResponseRetransmissions,该值项的默认值为3,表示定义了对于连接请求回应包的重发次数。如果该值为1,则SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的升高。SYN淹没保护特性只有在该值大小大于或等于2时才会被启用。该值的默认值为3。
以上两个值项定义了是否允许SYN淹没攻击保护。下面三个值项则定义了激活SYN淹没攻击保护特性的条件。当满足下面三个值项定义的条件之一时,系统会自动激活SYN淹没攻击保护。
TcpMaxHalfOpen,该值项的默认值为100或者500,表示定义了能够处于SYN_RECEIVED状态的TCP连接的数目。由于SYN淹没攻击通常会造成大量的SYN_RECEIVED状态的TCP连接,因此保护特性将该值作为SYN淹没攻击发生的一个征兆。当处于SYN_RECEIVED状态的TCP连接的数目超过该值项的定义时,系统认为SYN淹没攻击发生了,自动启用保护特性。
对于Windows 2000 Server,该值项默认值为100。对于Windows 2000 Professional,该值项默认值为500。Professional之所以比Server的值高,是因为Professional通常不用作服务器,也就不会受到SYN淹没攻击。
TcpMaxHalfOpenRetried,该值项的默认值为80或者40,表示定义了在重新发送连接请求后,仍然处于SYN_RECEIVED状态的TCP连接的数目。当这种状态的TCP连接的数目超过该值项的定义时,系统认为SYN淹没攻击发生了,自动启用保护特性。
对于Windows 2000 Server,该值项默认值为80。对于Windows 2000 Professional,该值项默认值为400。
TcpMaxPortsExhausted,该值项的默认值为5,表示定义了系统拒绝连接请求的次数。当系统保留的连接端口都被使用掉时,系统将拒绝所有的连接请求。SYN淹没攻击通常会发生这种情况,因此保护特性将该值作为SYN淹没攻击发生的一个征兆。当被拒绝的连接请求的数目超过该值项的定义时,系统认为SYN淹没攻击发生了,自动启用保护特性。
6.检查Windows启动时的程序(适用范围:Windows 2000/XP)
在Windows环境下,由于病毒必须获得CPU的控制权,因此很多病毒都需要在Windows启动后,自动地运行起来。另一方面,越来越多的病毒采用了高级语言的形式,象宏病毒,采用的是VB语言,本身不能直接由CPU来执行,必须由相关程序解释执行,因此它们必须在操作系统正常启动后,才能加载自身,进行病毒传播。因此说,很多病毒必须在Windows启动后自动地运行起来,并且是依赖于Windows的自动启动程序的功能。这是这些病毒的一个特点,也是一大弱点。我们可以根据这个特点,分析Windows启动时有那些程序自动运行,通过检查这些程序来防范病毒的侵袭。
(1)注册表项HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 该项下存放了Windows NT/2000/XP的服务程序。下面的每一个子项对应于一个服务:
ImagePath值项存放了该服务的程序文件路径。这些服务都有一个Start值项。值为0,表示由核心装载器装载;值为1,表示由I/O子系统装载。Start值为0