三、加強Windows系統安全
在目前這個病毒氾濫,"***橫行"的網絡時代,我們必須有備無患,加強計算機系統的安全。而註冊表作爲Windows操作系統的核心部分,往往成爲病毒和***利用的工具。如果使用者缺乏註冊表的相關知識,將無法找到病毒的"發源地",而無法將之清除。另一方面,註冊表也起着積極的作用。通過註冊表,我們可以進一步加強Windows系統的安全,防止各種非授權的使用,以防止病毒和***的***。
1.保護個人信息
如果你是和別人合用一臺計算機,或者你有比較私人的內容需要保護,那麼你可以通過註冊表來加強對這些私人信息的保護。
(1)清除本機訪問信息
一般情況下,Windows爲了方便使用者,總是將使用者最近訪問過的文檔、運行過的程序等信息保存下來,我們需要去除掉Windows提供的這種方便。
下表中的值項,位於註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer中。
(2)清除操作信息
在我們使用Windows操作系統的過程中,很多操作內容都被存放到了註冊表中。例如通過"開始"菜單的"運行"項運行過的程序名稱、訪問過"網上鄰居"中的計算機、訪問過計算機上的文件夾等。通過註冊表,我們可以手工清除這些信息。
(3)加密個人文件夾
上面討論的都是清除用戶適用計算機時留下的信息。下面我們利用註冊表知識,來加密我們的存放了個人信息的文件夾。
我們知道,如果想隱藏你的文件夾,通過將文件夾的屬性設置爲"隱藏"是沒有用的。用戶只需要在資源管理器的"工具"→"文件夾選項"→"查看"對話框中,選擇"顯示所有的文件和文件夾"項,就可以看到所有隱藏屬性的文件夾和文件。有一個小技巧,可以有效的保護你的文件夾。這個技巧就是,用類標識符作爲文件夾名的文件擴展名。例如我們想保護文件夾C:\mydata。
首先在註冊表項HKEY_CLASSES_ROOT中找到某個文件類型的CLSID,如MIDI文件的CLSID是{00022603-0000-0000-C000-000000000046}。將文件夾mydata的名稱加上{00022603-0000-0000-C000-000000000046}這個文件擴展名,即將C:\mydata的名稱修改爲"C:\mydata.{00022603-0000-0000-C000-000000000046}"。這時C:\mydata的圖標就從文件夾的圖標變成了MIDI文件的圖標。
在資源管理器中雙擊該圖標,系統會報告該MIDI文件內容錯誤,無法播放(系統將文件夾當作MIDI文件處理了),因此用戶無法進入C:\mydata,也就無法查看該文件夾下的內容。這樣做的好處是,我們可以成功的將我們的私人文件夾僞裝成一個普通的MIDI文件。
惟一能夠查看文件夾內容的方法是:在DOS窗口中,使用CD命令進入到該文件夾。
你可能會說,用戶只要將該文件夾的文件擴展名去除,不就可以將保護的文件夾恢復出來了嗎?不用擔心,用戶做不到這一步。即使用戶在資源管理器的"工具"→"文件夾選項"→"查看"對話框中,去除對"隱藏已知文件類型的擴展名"選項的選擇,使所有的文件都顯示出擴展名。在資源管理器中,C:\mydata也不會出現擴展名。這樣,用戶就無法去除或者更改C:\mydata. {00022603-0000-0000-C000-000000000046}的CLSID部分。
如果想在資源管理器中正常地查看該文件夾裏的內容,可以在DOS窗口中,將該文件夾重新改名爲正確的名稱。
該方法結合下面的限制運行程序的方法(限制運行DOS窗口),可以很有效的保護你的文件夾。
2.限制用戶運行的程序(適用範圍:Windows 9x/Me/NT/2000/XP)
(1)禁止用戶通過"運行"來運行應用程序
通過"開始"菜單的"運行",用戶可以輸入命令來啓動某個程序。對於那些不是EXE爲擴展名的程序,也可以直接運行。如果不希望用戶隨意執行程序,可以將"開始"菜單中的"運行"項去除。
進入到註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer中,新建一個雙字節值項NoRun,修改其值爲1。
提示:除了"運行"外,可以在DOS窗口中手工輸入命令來啓動某個程序。
(2)禁止用戶運行命令解釋器和批處理文件(適用於Windows NT/2000/XP)
通過修改註冊表,可以禁止用戶使用命令解釋器(CMD.exe)和運行批處理文件(BAT文件)。
進入到註冊表項HKEY_CURRENT_USER\Software\Policies\ Microsoft\Windows\System\中,新建一個雙字節值項DisableCMD,修改其值爲2。則命令解釋器和批處理文件都不能夠被運行。如果只是禁止命令解釋器的運行,而運行批處理文件的運行,則修改DisableCMD的值爲1。
(3)禁止運行指定的程序
爲了安全性起見,我們可能希望有些帶有危險性的程序不讓用戶去運行。這可以通過註冊表來實現。例如我們想禁止用戶運行記事本(notepad.exe)和計算器(cal.Exe)。
首先在註冊表項HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Policies\Explorer中,新建一個雙字節值項DisallowRun,修改其值爲1,以允許我們定義禁止允許的程序,然後新建一個註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\Current Version\Policies\Explorer\DisallowRun,在其下新建兩個字符串值項。第一個值項的名稱爲1,值爲notepad.exe,第二個值項爲2,值爲calc.exe。如果想禁止更多的程序,可以依次建立名稱爲3、4等順序往下排列的值項。修改註冊表後立即生效。這時想通過"開始"菜單運行記事本和計算器程序,系統會提示不能進行此操作。
注意:用戶在Windows NT/2000/XP的命令解釋器(CMD.exe)窗口中,仍然可以通過輸入"notepad.exe"運行記事本。這是因爲DisallowRun禁止的只是通過資源管理器Explorer運行的程序,記事本不是通過Explorer啓動的,所以就無法禁止了。如果不希望用戶可以通過命令解釋器運行程序,應該在DisallowRun中將命令解釋器(CMD.exe)禁止。另外,此方式還有一個不安全之處,就是如果用戶將記事本程序"notepad.exe"更改名稱,如改成"note.exe",用戶就可以運行它了。
(4)只允許運行指定的程序
爲了限制用戶運行程序,我們可以指定用戶只能運行某些必須的程序。這種方式可以避免用戶運行自己攜帶來的程序,有效地防範病毒地傳播。這可以通過註冊表來實現。
首先在註冊表項HKEY_CURRENT_USER\Software\Microsoft \Windows\Current Version\Policies\Explorer下新建一個雙字節值項RestrictRun ,修改其值爲1,以允許我們指定可以運行的程序。
然後新建一個註冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun,在其下新建兩個字符串值項。第一個值項的名稱爲1,值爲notepad.exe,第二個值項爲2,值爲calc.exe。如果想允許更多的程序,可以依次建立名稱爲3、4等順序往下排列的值項。修改註冊表後立即生效。這時想通過"開始"菜單和資源管理器運行其他的程序,系統會提示不能進行此操作。
提示:如果你沒有允許註冊表編輯器運行,你會發現你將無法恢復此方法所做的修改,因爲無法用註冊表編輯器來修改註冊表了。在這種情況下,你可以將註冊表編輯器程序的名稱改變爲你允許運行的某個程序的名稱,這樣你就可以運行起來註冊表編輯器了。
注意:由於此方法的限制性非常大,所以請小心使用,尤其是避免沒有允許任何程序運行這種情況。如果出現了這種情況,你將無法將此方法做的設定改變回來,因爲你無法修改註冊表。惟一的方法就是恢復修改前的註冊表備份。
(5)禁止使用註冊表編輯器
註冊表是複雜和危險的,所以我們往往希望用戶不要嘗試着去修改註冊表。通過修改註冊表,我們可以禁止用戶運行系統提供的兩個註冊表編輯器,Regedit.exe和Regedt32.exe。
在註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\下新建一個雙字節值項DisableRegistryTools,修改其值爲1。這樣,用戶就不能啓動註冊表編輯器了。
注意:使用此功能要小心,最好作個註冊表備份,或者準備一個其他的註冊表修改工具。因爲你在禁止了註冊表編輯器後,就不能再使用該註冊表編輯器將值項改回了。
(6)禁止用戶更改口令(適用於Windows NT/200/XP)
用戶在"Windows安全窗口"中(同時按下Ctrl+Alt+delete鍵),可以單擊"更改密碼"來更改用戶口令。通過修改註冊表,可以禁止用戶更改口令。
在註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System下新建一個雙字節值項DisableChangePassword,修改其值爲1。這樣,"Windows安全窗口"中的"更改密碼"按鈕變成了灰色不可選狀態,用戶無法更改口令。
(7)禁止用戶鎖定計算機(適用於Windows NT/2000/XP)
用戶在"Windows安全窗口"中,可以單擊"鎖定計算機"來鎖定計算機。通過修改註冊表,可以禁止用戶鎖定計算機。
在註冊表HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System中新建一個雙字節值項DisableLockWorkstation,修改其值爲1。這樣,"Windows安全窗口"中的"鎖定計算機"按鈕變成了灰色不可選狀態,用戶無法鎖定計算機。
(8)禁止用戶使用任務管理器(適用於Windows NT/2000/XP)
用戶可以使用"Windows任務管理器"(Taskmgr.exe)來啓動和結束本地進程、查看和管理其他計算機上的進程、改變進程的優先級。通過修改註冊表,可以禁止用戶使用任務管理器。
在註冊表項HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\下新建一個雙字節值項DisableTaskMgr,修改其值爲1。這樣,用戶就無法啓動任務管理器了。
3.限制用戶可以查看的資源(適用範圍:Windows 9x/Me/NT/2000/XP)
(1)隱藏指定的磁盤驅動器
如果我們不希望使用者查看某個驅動器的內容,可以在"我的電腦"和資源管理器中將該驅動器的圖標隱藏起來。
在註冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建一個雙字節值項NoDrives。
該值項共使用了從最低位(第0位)到第25位,共26個字位,分別代表驅動器A到驅動器Z。如果第0位爲1,表示不顯示驅動器A的圖標,第3位爲1,表示不顯示驅動器D的圖標,依此類推。例如我們想"我的電腦"中不顯示任何驅動器的圖標,可以修改"NoDrives"的值爲"03ffffff"(第0位到31位全部爲1)。修改後重啓桌面使改動生效。
修改後,不只是"我的電腦",還包括"網上鄰居"、資源管理器,任何標準的"打開"、"保存"文件的對話框,都不會出現指定驅動器的圖標。雖然這些驅動器的圖標不能出現,但是用戶仍然可以訪問這些驅動器。例如可以在資源管理器的地址欄中輸入驅動器號,或者在DOS窗口中使用命令查看隱藏了的驅動器。
(2)禁止用戶查看指定磁盤驅動器的內容
如果有一個驅動器中存放了重要的數據,我們不希望使用者查看該驅動器的內容,可以使用此方法來禁止查看該驅動器的內容。
在註冊表項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer中新建一個雙字節值項NoViewOnDrive。該值項共使用了從最低位(第0位)到第25位,共26個字位,分別代表驅動器A到驅動器Z。如果第0位爲1,表示禁止使用驅動器A,第3位爲1,表示禁止使用驅動器D,依此類推。例如我們想禁止用戶使用軟盤驅動器A和B,以及驅動器D,可以修改"NoViewOnDrive"的值爲"0000000b"(第0、1、3位的值爲1)。修改後需要重啓桌面使改動生效。
這時再進入到"我的電腦",雙擊驅動器D,系統會彈出一個消息框,告訴用戶不能進行此操作。不只是"我的電腦",還包括"網上鄰居"、資源管理器,任何標準的"打開"、"保存"文件的對話框,都不能對已經禁止的驅動器進行操作,雖然在"我的電腦"和資源管理器中,驅動器D的圖標仍然存在。
提示:該方法只是禁止用戶在"我的電腦"和資源管理器中訪問受限制的驅動器,應用程序仍然可以訪問被禁止的驅動器。
(3)登錄時不顯示上次使用者的用戶名(適用於Windows NT/2000/XP)
默認情況下,在用戶註冊登錄時,在用戶名欄中顯示着上次使用者的用戶名。通過修改註冊表,我們可以禁止系統顯示上次使用者的用戶名,以加強安全性。
在註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\中新建一個雙字節值項DontDisplayLastUserName,修改其值爲1。重新啓動機器後,在用戶註冊畫面中,不會顯示上次使用者的用戶名。