桌面终端安全防护策略

桌面终端安全防护策略大纲终端安全与注册表终端安全与安全策略终端安全管理数据防泄密标准个人计算机桌面环境终端安全与注册表什么是注册表Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件，注册表包含在Windows目录下两个文件system.dat和user.dat里，还有它们的备份system.da0和user.da0。从Windows95开始，Microsoft在Windows中引入了注册表（英文为REGISTRY）的概念（实际上原来在WindowsNT中已有此概念）。如果该注册表由于某种原因受到了破坏，会使Windows的启动过程出现异常，严重的可能会导致整个Windows系统的完全瘫痪。如何打开注册表在修复注册表前请备份,点“开始”→运行→输入“regedit”→确定注册表结构划分11.HKEY_USERS该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。2.HKEY_CURRENT_USER该根键包含本地工作站中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码(注：此密码在输入时是隐藏的)。用户登录Windows98时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。3.HKEY_CURRENT_CONFIG该根键存放着定义当前用户桌面配置(如显示器等)的数据,最后使用的文档列表（MRU）和其他有关当前用户的Windows98中文版的安装的信息。为HKEY_CURRENT_CONFIG子关键字之间的连接情况。注册表结构划分24.HKEY_CLASSES_ROOT根据在Windows98中文版中安装的应用程序的扩展名,该根键指明其文件类型的名称。5.HKEY_LOCAL_MACHINE该根键存放本地计算机硬件数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。该根键中的许多子键与System.ini文件中设置项类似。图7显示了HKEY_LOCAL_MACHINE根键下的各个子键之间的情况。6.HKEY_DYN_DATA该根键存放了系统在运行时动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中。显示了HKEY_DYN_DATA根键下的各个子键的情况。注册表部分重要内容1(一)HKEY_CLASS_ROOT1.HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon双击窗口右侧的默认字符串，在打开的对话框中删除原来的“键值”，输入%1。重新启动后，在“我的电脑”中打开Windows目录，选择“大图标”，然后你看到的Bmp文件的图标再也不是千篇一律的MSPAINT图标了，而是每个Bmp文件的略图（前提是未安装ACDSee等看图软件）。(二)HKEY_CURRENT_USER1.HKEY_CURRENT_USER\ControlPanel\Desktop中新建串值名MenuShowDelay=0可使“开始”菜单中子菜单的弹出速度提高。2.在HKEY_CURRENT_USER\ControlPanel\Deskt-op\WindowsMeterics中新建串值名MinAnimate，值为1启动动画效果开关窗口，值为0取消动画效果。注册表部分重要内容2（三）HKEY_LOCAL_MACHINE1.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\explorer\usershellfolders保存个人文件夹、收藏夹的路径。2.HKEY_LOCAL_MACHINE\system\currentControl-Set\control\keyboardLayouts保存键盘使用的语言以及各种中文输入法。3.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\uninstall保存已安装的Windows应用程序卸载信息。4.HKEY_LOCAL_MACHINE\system\CurrentControl-Set\services\class保存控制面板-增添硬件设备-设备类型目录。5.HKEY_LOCAL_MACHINE\system\Current-ControlSet\control\update设置刷新方式。值为00设置为自动刷新，01设置为手工刷新[在资源管理器中按F5]。6.HKEY_LOCAL_MACHINE\software\microsoft\win-dows\currentVersion\run保存由控制面板设定的计算机启动时运行程序的名称，其图标显示在任务条右边。在“启动”文件夹程序运行时图标也在任务条右边。7.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Policies\Ratings保存IE4.0中文版“安全”\“分级审查”中设置的口令(数据加密),若遗忘了口令,删除Ratings中的数据即可解决问题。8.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\explorer\desktop\nameSpace保存桌面中特殊的图标,如回收站、收件箱、MSNetwork等。注册表部分重要内容3（四）HKEY_USERS1.HKEY_USERS\.Default\software\microsoft\internetexplorer\typeURLs保存IE4.0浏览器地址栏中输入的URL地址列表信息。清除文档菜单时将被清空。2.HKEY_USERS\.Default\so..\mi..\wi..\current-Version\ex..\menuOrder\startMenu保留程序菜单排序信息。3.HKEY_USERS\.Default\so..\microsoft\windows\current-Version\explorer\RunMRU保存“开始\运行...”中运行的程序列表信息。清除文档菜单时将被清空。4.HKEY_USERS\.Default\so..\microsoft\windows\current-Version\explorer\RecentDocs保存最近使用的十五个文档的快捷方式(删除掉可解决文档名称重复的毛病)，清除文档菜单时将被清空。5.HKEY_USERS\.default\software\microsoft\windows\currentVersion\applets保存Windows应用程序的记录数据。6.HKEY_USERS\.default\software\microsoft\windows\currentVersion\run保存由用户设定的计算机启动时运行程序的名称，其图标显示在任务条右侧。注册表使用技巧关闭“Messenger”服务安全隐患:在Windows2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过netsend指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。解决方法:注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项下的进行管理，其中的每个子键就是系统中对应的“服务”“Messenger”服务对应的子键是“Messenger”。START键值，将该值修改为4即可。注册表使用技巧关闭远程注册表服务安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。解决方法:将远程注册表服务(RemoteRegistry)的启动方式设置为禁用。为了避免黑客在入侵我们的计算机后，将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项，右键点击该项选择删除，将该项删除后就无法启动该服务了。注册表使用技巧关闭默认共享安全隐患:在Windows2000/XP/2003中，系统默认开启了一些“共享”，它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的RestrictAnonymous项设置为“1”，禁止IPC$的连接。注册表使用技巧对于c$、d$和admin$等类型的默认共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项。Windows2000Server或Windows2003，在该项中添加键值AutoShareServer(类型为REG_DWORD，值为0)。注册表使用技巧禁止病毒启动服务安全隐患:高级病毒会通过系统服务进行加载。解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支接着点击菜单栏中的安全→权限注册表使用技巧在弹出的Services权限设置窗口中单击添加按钮，将Everyone账号导入进来选中Everyone账号将该账号的读取权限设置为允许，将它的完全控制权限取消该方法只对没有获得管理员权限的病毒和木马有效。注册表使用技巧禁止病毒运行安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。解决方法:运行“regedt32”指令启动注册表编辑器。注册表HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN分支将Everyone对该分支的读取权限设置为允许，取消对完全控制权限的选择。注册表使用技巧注册表使用技巧IE默认连接首页被修改攻击方式：更改：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage通过修改“StartPage”的键值,来达到修改浏览者IE默认连接首页的目的。如不慎浏览某一恶意网站“”,该网站就会将你的IE默认连接首页修改为“”。注册表使用技巧解决方案:1)在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”。2)展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“StartPage”双击,将StartPage的键值改为“about:blank”即可;3)展开注册表到HKE