 |
【IT168 专稿】目前中小企业的服务器使用的操作系统还是以Windows居多,特别是目前Longhorn还处在测试阶段,所以Windows 2003和2000server占据了主体地位。
众所周知Windows系统默认情况下会开启很多服务和一些系统功能,这些设置会为我们日常的网络共享资源带来方便,但却给服务器自身带来了巨大的安全隐患。黑客可以通过这些默认设置轻松进入服务器内部,随意篡改数据毁坏信息。网上也经常讨论如何避免这些默认缺陷,大多数操作都是通过修改注册表来实现的。
为什么选择注册表呢?因为注册表好比系统的心脏,任何基本的参数都由注册表来规定,所以安全隐患也常常通过修改注册表来避免。
不过注册表是不能随意修改的,网上提供的修改默认设置的方法中有些是错误的,修改后很有可能造成Windows系统无法正常启动,所以对注册表的操作一定要非常仔细。另外有些对注册表的修改是不必的。今天笔者就为各位读者挑选出最值得我们修改注册表提高Windows服务器安全的九大措施,只有通过这九大措施才能让服务器真正“高枕无忧”。
准备工作
在修改注册表工作开始之前,各位读者要先学会如何备份注册表。方法如下。
第一步:通过任务栏的“开始->运行->输入regedit”启动注册表编辑器。
第二步:选择注册表编辑器菜单中的“文件->导出”。(如图1)
&picid=399180.jpg) |
| 图1 点击看大图 |
第三步:在导出注册表文件窗口中输入导出的注册表文件名称,在导出范围处选择“全部”。(如图2)
&picid=399182.jpg) |
| 图2 点击看大图 |
只有在将注册表事先保存好的条件下才能继续我们下文修改注册表的操作,对于新手来说如果修改注册表后出现问题,可以通过菜单中的“文件->导入”将已经保存的注册表文件进行恢复。
第一招儿:拒绝病毒启动服务
一般来说黑客程序和病毒很聪明,已经不象以前的仅仅通过注册表的RUN值或MSCONFIG中的项目进行加载了。一些高级病毒是通过系统服务进行加载的。我们能不能防患于未燃,使得病毒或木马没有启动服务的相应权限呢?这样就可以有效的阻止病毒及木马启动服务。
阻止的方法非常简单,通过任务栏的“开始->运行”,输入regedit进入注册表编辑器然后定位到注册表中的hkey_local_machine\system\currentcontrolset
\services分支,接着点菜单栏中的“编辑->权限”,在弹出的services权限设置窗口中单击“添加”按钮,将everyone帐号导入进来,然后选中“everyone”帐号将该帐号的“读取”权限设置为“容许”,将他的“完全控制”权限取消,确定后任何木马或病毒都无法自行启动系统服务了。(如图3)
 |
| 图3 |
小提示:该方法只对没有获得管理员权限的病毒和木马有效。
第二招儿:拒绝病毒自行启动
众所周知很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的,我们同样可以按照技巧一中介绍的方法将病毒和木马对该键值的修改权限去掉。
阻止的方法非常简单,通过任务栏的“开始->运行”,输入regedit进入注册表编辑器然后定位到注册表中的hkey_current_machine\software\microsoft\
windows\currentversion\run分支,按照上面的方法将everyone对该分支的“读取”权限设置为“容许”,将他的“完全控制”权限取消。这样病毒和木马就无法通过该键值启动自身了。
小提示:
在注册表中还有几处经常被木马或病毒所利用加载自身程序,我们也可以按照此方法在这些键值设置权限将病毒和木马阻挡在操作系统之外。
第三招儿:彻底关闭远程注册表服务
有点经验的网络管理员都知道默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(Remote Registry)的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
第一步:通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。
第二步:找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项,在其上点鼠标右键选择删除选项。
第三步:将该项删除后就无法启动该服务了,即使我们通过控制面板->管理工具->服务中启动也会出现如图2所示的错误提示,根本无法启动该服务。
小提示:
由于我们采用的方法是将服务项都删除,以后就无法使用该服务了,因此在删除前请一定将该项信息导出并保存。以后再想使用该服务时只需要将已经保存的注册表文件导入即可。另外如果觉得将服务删除不安全的话还可以将其改名,也可以起到一定的防护作用。
第四招儿:彻底关闭默认共享
大家都应该知道在WIN2000/XP/2003中系统是默认开启一些共享的,他们是ipc$,c$,d$,e$和admin$。很多黑客和病毒都是通过这个默认共享入侵到操作系统中的,因此我们需要将这些默认共享关闭。
在注册表中进行操作,要防范ipc$攻击应该将注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设置为“1”,这样就可以有效的禁止空用户的连接了。对于c$,d$和admin$等类型的默认共享则需要在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项,如果是2000server,2003server的话需要在该项中添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。如果是2000professional的话应在该项中添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
小提示:
其实如果本地计算机不与其他机器共享文件和打印服务的话还有一个更简单的方法关闭这些默认共享,就是将server服务禁用。
下期我们将继续为大家介绍“服务器注册表决斗之九阳真经”剩下的内容,敬请关注。
