近期精彩文章导读：

 服务器一站式导购查询向导              【网友解答】SCSI与RAID轻松释疑
 新手入门之认识服务器电源(图)          新手入门之认识典型Web服务器（图）
 网管经验谈:服务器成功维护经历纪实     Linux下Web服务器架设攻略
 Win2003下Mail服务器全攻略（图）       Windows下FTP服务器架设攻略（图） 

    【IT168 专稿】众所周知操作系统的注册表是一个藏龙卧虎的地方，所有系统设置都可以在注册表中找到踪影，所有的程序启动方式和服务启动类型也都可以通过注册表中的小小键值来控制。正因为注册表的强大性使得这里也是一个藏污纳垢的地方，病毒和木马常常寄生在此，偷偷摸摸的干着罪恶勾当，威胁着原本健康的操作系统。

    如何才能有效的防范病毒和木马的侵袭保证系统的正常运行呢？其实归根到底解铃还须系铃人，今天就为大家全面介绍如何通过注册表砌起反病毒和木马的安全之墙。通过九大战术的设置后我们的服务器会变得更加安全。

通过注册表将可恶的MESSENGER广告信息扫地出门

    安全隐患：在WIN2000/XP系统下默认MESSENGER服务是启动的，不坏好意者通过net send指令可以向目标计算机发送信息。目标计算机就会在使用中不时收到这样的骚扰信息，影响了操作者的正常使用。

    解决方法：首先打开注册表编辑器，方法是通过任务栏的“开始->运行->输入regedit”对于系统服务来说我们都可以通过注册表中的HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services下的各个选项来管理，其下的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”，我们只要找到MESSENGER项下的START键值，将其值修改为4即可。这样该服务就被我们禁用了。以后就再也不会受到所谓的“信”骚扰了。

    小提示：将START键值修改为2表示该服务自动启动，3表示该服务启动方式为手动。

拒绝黑客的远程注册表操作

    安全隐患：虽然我们可以通过战术一的方法将一些引起安全隐患的服务启动方式设置为禁用，但如果黑客连接到我们的计算机并且计算机启用了远程注册表服务（Remote Registry）的话他还可以通过远程注册表操作系统任意服务，因此远程注册表服务要得到特别保护。

    解决方法：我们可以通过上面战术一介绍的方法将远程注册表服务（Remote Registry）启动方式设置为禁用，不过黑客入侵我们计算机后仍然可以通过简单的操作将其从禁用转换为自动启动方式。因此我们有必要进一步操作，那就是将该服务删除。方法是找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项，在其上点鼠标右键选择删除选项，（如图1）将该项删除后就无法启动该服务了，即使我们通过控制面板->管理工具->服务中启动也会出现如图2所示的错误提示，根本无法启动该服务。

图1 点击看大图

图2 点击看大图

默认共享请走开

    安全隐患：大家都应该知道在WIN2000/XP/2003中系统是默认开启一些共享的，他们是ipc$,c$,d$,e$和admin$。很多黑客和病毒都是通过这个默认共享入侵到操作系统中的，因此我们需要将这些默认共享关闭。

    解决方法：我们仍然在注册表中进行操作，要防范ipc$攻击应该将注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设置为“1”，这样就可以有效的禁止空用户的连接了。对于c$,d$和admin$等类型的默认共享则需要在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\LanmanServer\Parameters项，如果是2000server,2003server的话需要在该项中添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。如果是2000professional的话应在该项中添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。

    小提示：其实如果本地计算机不与其他机器共享文件和打印服务的话还有一个更简单的方法关闭这些默认共享，就是将server服务禁用。

拒绝系统隐私泄露

    安全隐患：在WINDOWS系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将出错时系统调用的隐私信息保存下来。很多攻击者都可以通过破解这个程序而了解到系统的隐私信息。因此我们要阻止该程序将必要信息泄露出去。

    解决方法：在注册表中找到hkey_loacl_machine\software\microsoft\windows nt\currentversion\aedebug，将该分支右恻的AUTO键值设置为0，确定后dr.watson就不会记录我们系统运行时的出错信息了。当然我们还要到“我的电脑->documents and settings->all users->documents->drwatson”找到该文件夹中的user.dmp和drwtsn32.log文件将其全部删除。

    小提示：如果你已经禁止了dr.watson程序的运行那么将不会找到上文提到的drwatson文件夹及user.dmp和drwtsn32.log两个文件。

拒绝ACTIVE控件的恶意骚扰

    安全隐患：不少木马和病毒都是通过在网页中隐藏恶意activeX控件的方法来私自运行系统中的本地程序，从而达到破坏本地系统的目的。为了保证系统安全我们应该阻止ACTIVEX控件的私自运行程序的权限。

    解决方法：activex控件是通过调用windows scripting host组件的方式运行程序的，所以先删除“我的电脑->系统盘的winnt目录->system32”下的wshom.ocx文件，这样activeX控件就不能调用windows scripting host了。然后在注册表中找到hkey_l
ocal_machine\software\classes\clsid\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}，将该项全部删除。通过这两步ACTIVEX控件就再也无法私自调用脚本程序了。

拒绝页面文件对外泄密

    安全隐患：WINDOWS2000系统的页面交换文件也和上文提到的dr.watson程序一样也常常成为黑客攻击的对象，因为页面文件也有可能泄露一些没有加入到内存的隐藏信息，因此我们需要对其严格保护。

    解决方法：注册表中定位到hkey_local_machine\system\currentcontrolset\
control\session manager\memory management，找到其下的clearpagefileat shutdown项目，将其值设置为1，（如图3）这样每当重新启动后系统都会将页面文件删除，从而有效的防止了隐私的外泄。

图3 点击看大图

密码填写不要自动化

    安全隐患：使用WINDOWS系统在网上浏览时经常会遇到密码信息被系统自动记录的情况，以后重新访问该页时系统将会自动填写密码。这样很容易造成自己隐私信息的外泄。因此我们要将该功能在注册表中禁用。

    解决方法：在hkey_local_machine\software\microsoft\windows\currentversion\
policies分支中找到network子项（如果没有请自行添加），在该子项下建立一个新的双字节值名称为disablepasswordcaching,并将其值设置为1，重新启动计算机后操作系统就不会自作聪明的记录密码了。

拒绝病毒启动服务

    安全隐患：现在的病毒也很聪明，已经不象以前的仅仅通过注册表的RUN值或MSCONFIG中的项目进行加载了。一些高级病毒是通过系统服务进行加载的。我们能不能防患于未燃，使得病毒或木马没有启动服务的相应权限呢？这样就可以有效的阻止病毒及木马启动服务。

    解决方法：定位到注册表中的hkey_local_machine\system\currentcontrolset
\services分支，接着点菜单栏中的“安全->权限”,在弹出的services权限设置窗口中单击“添加”按钮，将everyone帐号导入进来，然后选中“everyone”帐号将该帐号的“读取”权限设置为“容许”，将他的“完全控制”权限取消，（如图4）确定后任何木马或病毒都无法自行启动系统服务了。

图4 点击看大图

拒绝病毒自行启动

    安全隐患：很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的，我们同样可以按照战术八介绍的方法将病毒和木马对该键值的修改权限去掉。

    解决方法：定位到注册表中的hkey_current_machine\software\microsoft\
windows\currentversion\run分支，按照战术八的方法将everyone对该分支的“读取”权限设置为“容许”，将他的“完全控制”权限取消。这样病毒和木马就无法通过该键值启动自身了。

    小提示：在注册表中还有几处经常被木马或病毒所利用加载自身程序，我们也可以按照战术八和九的方法在这些键值将病毒和木马阻挡在操作系统之外。

    总结：病毒和木马也是不断发展的，我们要不断更新自身对系统的防护知识。与其感染病毒后再去查杀，不如老老实实的提前做好防护，毕竟亡羊补牢不是我们所希望发生的事情，防患于未燃才是我们应该追求的。