wind0ws不能启动原因可能是最近更改了硬件或软件windows不能启动原因可能是最近更改了硬件或软件
大家好,wind0ws不能启动原因可能是最近更改了硬件或软件相信很多的网友都不是很明白,包括windows不能启动,原因可能是最近更改了硬件或软件也是一样,不过没有关系,接下来就来为大家分享关于wind0ws不能启动原因可能是最近更改了硬件或软件和windows不能启动,原因可能是最近更改了硬件或软件的一些知识点,大家可以关注收藏,免得下次来找不到哦,下面我们开始吧!
本文目录
什么是木马现在的病毒和木马,有什么区别关于注册表服务器的操作系统和我们用的操作系统有什么区别什么是木马特洛伊木马(以下简称木马),英文叫做“Trojanhouse”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
原理篇
基础知识
在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
木马原理
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
二.传播木马
(1)传播方式:
木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式:
鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
三.运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了,具体过程见下图:
(1)由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:
1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键,在其中寻找可能是启动木马的键值。
2.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。3.SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
6.注册表:打开HKEY_CLASSES_ROOT文件类型\shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOTxtfileshellopencommand下的键值,将“C:WINDOWSNOTEPAD.EXE%1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE%1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查看端口的两个实例:
其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端还未建立连接时的显示状态。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
(1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
(2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
(3)4000端口:这是OICQ的通讯端口。
(4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
四.信息泄露:
一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。下图是一个典型的信息反馈邮件。
从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况,系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接,具体的连接方法我们会在下一节中讲解。
五.建立连接:
这一节我们讲解一下木马连接是怎样建立的。一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。为了便于说明我们采用图示的形式来讲解。
如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP地址的方法主要有两种:信息反馈和IP扫描。对于前一种已在上一节中已经介绍过了,不再赘述,我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
六.远程控制:
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图
控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪
木马和病毒都是一种人为的程序,都属于电脑病毒,为什么木马要单独提出来说内?大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术."木马"不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等.达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的!导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序.
一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某某木马的话,那么它自己的普通杀毒程序也当然能够杀掉这种木马,因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
还有一点就是,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒.每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度岂不是很慢了.省去普通病毒代码检验,是不是就提高了效率,提高了速度内?也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马!
隐形”木马启动方式揭秘
大家所熟知的木马程序一般的启动方式有:加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项中,更高级的木马还会注册为系统的“服务”程序,以上这几种启动方式都可以在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中找到它的踪迹。
另一种鲜为人知的启动方式,是在“开始→运行”中执行“Gpedit.msc”。打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中
的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,如图所示,单击“确定”按钮就完成了。添加需要启动的文件面
重新启动计算机,系统在登录时就会自动启动你添加的程序,如果刚才添加的是木马程序,那么一个“隐形”木马就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用程序”是找不到的,同样在我们所熟知的注册表项中也是找不到的,所以非常危险。
通过这种方式添加的自启动程序虽然被记录在注册表中,但是不在我们所熟知的注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]项内,而是在册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项。如果你怀疑你的电脑被种了“木马”,可是又找不到它在哪儿,建议你到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]项里找找吧,或是进入“组策略”的“在用户登录时运行这些程序”看看有没有启动的程序。
特洛伊木马NetBusv.1.60的中文说明
概述
此程序是一个遥控管理工具,更是一个在局域网或在全球因特网上同朋友逗乐的软件.
安装
NetBus包含服务器和客户机部分,服务器必须安装在你想逗乐的人的计算机上.客户机属你掌握,它是控
制目标计算机的好程序.
把NetSever服务器,Patch.exe(可更名),放入目标计算机的任意位置并运行它,缺省时安装在Windows中,
以更开机时自动运行.把NetSever客户机,装在自己的计算机里.开始NetBus,联结你选择的域名或(IP地
址);如果Patch已在你联结的目标计算机中已运行.让我们开始逗乐!
注意:你看不到Patch在运行-它Windows开始时自动运行,并隐藏.
Netbus和Patch使用TCP/IP协议.因此,你的地址有域名或IP号.NetBus会用Connect按钮把你和某人联上.
功能
*弹开/关闭CD-ROM一次或间隔性自动开关.
*显示所选择的图象,如果你没有图像文件的路径,可在Pacth的目录中找.支持BMP和JPG格式.
*交换鼠标按钮-鼠标右键变成鼠标左键的功能.
*开始所选择的应用程序.
*播放所选择的声音文件,如果你没有声音文件的路径,可在Pacth的目录中找.支持WAV格式.
*点击所选的鼠标坐标,你甚至可你的鼠标在目标计算机中运行.
*在银屏上显示对话框,回答会返回你的计算机中.
*关闭系统,删除用户记录等.
*用缺省网络浏览器,浏览所选择的URL.
*发送键盘输入的信息到目标计算机中的活动应用程序中!
*监视对方的键盘输入的信息,并发回到你的计算机.
*清屏!(连接速度慢时禁用).
*获取目标计算机中的信息.
*上载你的文件到目标计算机中!用此功能,可上载Patch的最新版本.
*增大和减少声音音量.
*记录麦克风的声音,并将声音返回.
*按一次键每次有声音.
*下载和删除目标中的任何文件.你能下载/删除在目标计算机硬盘中所选择的文件.
*键盘禁用功能.
*密码保护管理.
*显示,死机和集中系统中的窗囗.
上述功能一些选项在执行时,(逻辑排异),可能会延迟几秒.
连接
Connect按钮有个很好的特点,它能扫描NetBus计算机中的IP地址.一旦连接它会停止扫描.IP扫描的
参数是xx.xx.xx.xx+xx,等.
127.0.0.1+15将扫描IP地址的范围是127.0.0.1到127.0.0.16
现在的病毒和木马,有什么区别病毒与木马的区别:
1、病毒是当已感染的软件运行时,这些恶性程序向计算机软件添加代码,修改程序的工作方式,从而获取计算机的控制权。
2、木马是指未经用户同意进行非授权操作的一种恶意程序。它们可能删除硬盘上的数据,使系统瘫痪,盗取用户资料等。木马程序不能独立侵入计算机,而是要依靠黑客来进行传播,它们常常被伪装成“正常”软件进行散播。
3、他们最大的区别就是病毒具有感染性,而木马一般不具有感染性,另外,病毒入侵后立刻有感觉,而木马入侵后希望你没有感觉,这样才有利于她“开展工作”。木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来.独立的称之为"木马"程序。
扩展资料:
“木马”这个名字来源于古希腊传说——特洛伊木马。和故事中的“木马”一样,计算机病毒中的“木马”也是通过伪装自身吸引用户下载,执行,随后进入到电脑中的。
现在最为流行木马就是“挖矿木马”了,随着加密货币价格的攀升,国内外频频爆出各种“挖矿木马”事件。当用户下载安装此带毒工具后,挖矿木马也会入侵电脑,利用用户的电脑资源,为黑客“挖矿”赚钱。
参考资料:百度百科-计算机病毒
参考资料:百度百科-木马病毒
关于注册表对各位初学计算机的朋友,若想从“菜鸟”茁壮成长为一只“老鸟”,要学的东西真是太多了。比如说吧,要想玩转微软的窗子,就不能不了解注册表这东东。
注册表实际上是Win98的中心数据库,其中包含了Win98系统和用户程序的各种所需数据及各项配置。它替代了Win3.x时代的Autoexec.bat、Config.sys、System.ini、Win.ini和Reg.dat等系统配置文件。其中Reg.dat是Win3.x中的注册表,我们可以用Regedit.exe程序来打开它。当然,它远没有Win98的注册表强大,稳定。
Win98的这个中心数据库主要由两个文件组成:System.dat和User.dat。如果你在系统中安装了“系统策略编辑器”,它还应当包括Config.pol。这三个文件都是系统、隐含、只读属性。其中,System.dat类似于Win3.x中的System.ini。保存有微机的系统信息,如硬件设备配置和设备驱动程序的有关信息等等。它必须放在Windows子目录下。User.dat相当于Win3.x中的Win.ini。保存有用户特征信息,如桌面设置、墙纸或窗口的颜色设置等。这个文件一般放在Windows子目录下。当在网络环境下使用Win98时,则必须放在网络服务器上。Config.pol主要用于网络用户管理,系统据以对网络用户的操作作一些限制。以上三个文件在系统中会自动得到备份。自备份文件分别为:System.da0、User.da0、Config.po0。当注册表主文件被破坏后,可以从这几个备份文件中得到恢复。
在注册表中,所有的数据都是通过树状层次结构加以组织,类似于硬盘中的文件结构。你只需打开注册表编辑器就能一目了然。在“运行”对话框中输入RegEdit,确定,就能打开注册表编辑器了。在编辑器的左窗格中显示的就是注册表的“根键”。这样的“根键”共六个(HKEY_CLASSES_ROOT、HKEY_CURRENT_USER、HKEY_LOCAL_MACHINE、HKEY_USERS、HKEY_CURRENT_CONFIG、HKEY_DYN_DATA)。它们都是由大写字母和下划线组成,并都以HKEY_为前缀。你可以打开每个根键前的+号,进入到根键下的子键当中,打开各级子键前的+号,便能进入到更下一级的子键当中。每个根键下都有数量众多的子键和键值。这时常将初识注册表的朋友弄得昏头转向。在六个主键中,HKEY_LOCAL_MACHINE是包含信息量最多的。该主键包含了计算机硬件和软件的全部信息。当系统的配置和设置发生变化时,本关键字下面的登录项也将随之改变。在此主键之下,包括了另两个主键(HKEY_CLASSES_ROOT、HKEY_CURRENT_CONFIG)中的全部信息。实际上,HKEY_LOCAL_MACHINE\SOFTWARE\Classes就是HKEY_CLASSES_ROOT,HKEY_LOCAL_MACHINE\Config就是HKEY_CURRENT_CONFIG。与此类似,HKEY_CURRENT_USER也仅是HKEY_USER中的一部份信息,一般情况下,这两个主关键字包含的内容是完全相同的。主键HKEY_DYN_DATA保存了系统运行的动态数据,它反映了系统的当前状态。它的许多子键信息是保存在内存当中的,即便是同一台机器,每次运行时,其内容都是不一样的。
在注册表的各级键与子键之下保存有大量的信息,这些信息都是以各种形式的键值项数据来保存的。在注册表编辑器的右窗格中,显示的就是各键值项数据,各项数据分为键值名(名称)和键值(数据)两部分。键值名是各键值项数据的标识符,而键值就是各键值项数据的具体内容了。键值分为三类。第一类为字符串值,它一般用于描述文件或各类标识。通常由字母和数字组成,最大长度为255字符。第二类为二进制值:它的长度不受限制,在注册表编辑器中以十六进制的方式显示,如“60600000”。第三类被称为DWORD值。它是一个长度为4个字节(双字)的数值。它也是以十六进制的方式显示的。但形式与二进制值不同,数值前多了“0x”。形如“0x00000000(1)”。
注册表的维护和修复
注册表作为Win98的核心数据库,从内容到结构都是相当复杂的,且注册表本身也只是以文件形式保存。所以注册表又是比较脆弱的。若注册表存在错误或遭到破坏,轻则影响系统性能和稳定,重则不能正常访问硬件或运行软件,甚至无法启动机器或使程序与数据受到损坏。
注册表产生错误和遭到破坏的原因主要有三类:
软件方面的原因。主要是应用程序中的错误和相互之间的冲突和各类计算机病毒引起的,另外使用了错误的驱动程序或存在驱动程序的不兼容现象也有可能引发注册表的问题。
硬件方面的原因。如硬盘、内存或其它硬件的品质不过关,造成数据读写错误,或因过度超频等情况使机器稳定性大为下降。
错误的操作。如非正常关机或掉电,用户错误地对注册表进行操作或修改。
为防止注册表损坏而影响机器的正常运行,平时应做好注册表的维护工作。Win98中自带的注册表工具有两个,一是注册表编辑器(Regedit.exe),另一个是注册表检查程序(Scanreg.exe/Scanregw.exe)。Win98在每次启动时都会为注册表做一次备份,但这并不是非常保险的。因为Win98只是在每次启动时,简单地覆盖上一次启动所作的备份,即使注册表中本巳存在错误,Win98照样使其备份。所以,你需要自己对注册表作好备份。在注册表编辑器(Regedit.exe)中选中“注册表”菜单,然后选“导出注册表文件”子菜单,选好保存的文件名和目录就可以了。今后如遇到注册表的麻烦,只需要轻松地“引入注册表文件”就解决了。另外,注册表编辑器在导出注册表时还能修复注册表中的一些简单的错误,并能去掉一些无用的分枝,让注册表减减肥。使用注册表编辑器还能方便地对注册表中的内容进行修改。关于修改,有兴趣的朋友可留意《电脑报》中的相关文章。备份注册表还可以用Scanreg.exe来进行。方法是在运行对话框中输入Scanreg,确定。Scanreg.exe首先会检查注册表是否有错。如果有,它将提示用户进行修复。如果没有,则提示用户是否备份当前注册表。Regedit和Scanreg还能在DOS坏境下运行。如:在DOS提示符下输入
Regedit/EMyreg.reg将注册表导出到Myreg.reg中了。
RegeditMyreg.reg将备份文件引入到注册表中。
Regedit/CMyreg.reg根据Myreg.reg创建注册表数据库。
Scanreg/Backup将注册表备份到.CAB文件中。
Scanreg/Restore恢复注册表。
Scanreg/Fix修复注册表。
Win98自带的这两个注册表工具的功能并不是很强。为加强对注册表的管理和维护,还可以使用各类第三方的注册表工具软件。在《电脑报》第6期上对这些工具,有详细的介绍,各位有举的朋友可认真看看。
如果注册表巳经存在错误和损坏。那又当如何呢?
首先,如你巳作了注册表的备份,只需简单地引入就可以了。要是没有作的话,可能就要麻烦些了。
如果损坏得不是很严重,可重新启动机器进入安全模式,此时系统可自动地修复注册表的问题。另外,还可将System.dat和User.dat改名或移往其它目录。使Win98在下次启动时因找不到此两文件,而将自备份文件System.da0和User.da0改回System.dat与User.dat。以使机器恢复到上一次正常运行时的状态。
如果注册表损坏较重,或因出现故障后启动了多次,使自备份文件中保存的为不正确的注册表信息。就不能用以上方法了。可在机器启动时,按F8键调出启动菜单,选中第6项“Safemodecommandpromptonly”进入安全DOS模式。执行如下命令:
regedit/l:c:\windows\system.dat/ec:\system.txt导出System.dat至System.txt中
cd\windows进入Win98所在目录
attrib-s-h-rsystem.dat去掉System.dat系统、隐含、只读属性
rensystem.datsystem.old将当前的System.dat文件改名
regedit/l:c:\windows\system.dat/cc:\system.txt重新创建system.dat文件
regedit/r:c:\windows\user.dat/ec:\user.txt导出User.dat至User.txt中
cd\windows进入Win98所在目录
attrib-s-h-ruser.dat去掉User.dat的系统、隐含、只读属性
renuser.datuser.old将当前的User.dat文件改名
regedit/r:c:\windows\user.dat/cc:\user.txt重新创建User.dat文件
如果重启动系统后,系统仍然存在问题,我们就只能用System..1st来对注册表进行恢复了。System.1st是Win98在安装后第一次正常运行时将系统信息保存在C盘根目录下的。它也是一个系统、隐藏、只读文件。我们可在DOS提示符下输入如下命令:
cd\windows进入Win98所在目录
attrib-s-h-rsystem.dat去掉System.dat系统、隐含、只读属性
rensystem.datsystem.old将当前的System.dat文件改名
cd\回到根目录
attrib-s-h-rsystem.1st去掉System.1st系统、隐含、只读属性
copysystem.lstc:\windows\system.dat用system.lst覆盖system.dat
attrib+s+h+rsystem.lst恢复属性
attrib+s+h+rc:\windows\system.dat恢复属性
使用此方法是最为保守的方法。它只能使机器恢复到系统初装时的状态,系统中所安装的各类软件几乎都需要重装。
在实际应用中,当Win98的注册表遭到较重破坏后,即使能够修复,效果可能也并不太好,此时重新安装系统也许是更好的选择。所以平时应着重做好系统的维护工作,并即时备份好注册表。你可以在Win98初装时,先安装好那些你常用的,且较大的软件,然后做好注册表的备份(我就是先在机器是装入Office、VisualStudio这些大玩艺和NortonUtilites等常用工具后进行备份的)。在平时运行时,你应当使用一些工具,如Norton、Regclean等等,时常对你的注册表进行必要的查错、减肥等各项维护。你还能够结合使用一些DLL程序的清理工具(如CleanSystem)对你的系统进行维护,使你的系统常期保持在健康、稳定状态,以避免频繁重装系统的麻烦
修改注册表设置系统安全性
Windkows的注册表是管理整个操作系统的核心所在,通过编程或手工修改注册表的有关设置可对系统安全性进行有效控制。目前许多有关系统安全保护的工具软件便是以这种方式来实现的。根据笔者的一些实际体会,现就有关Windows注册表中涉及系统安全性的常用键介绍如下:
预备动作:在WINDOWS开始菜单中选择“运行”后,再在弹出的窗口中输入“redegit”,按确认键进入注册表编辑器。
1、基本原理
1、进入如下路径:
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
后,在“Explorer”键值下新建下列DWORD值:
NoDesktop隐藏桌面上的所有图标(=1时为有效)
NoDrivers隐藏驱动器(DWORD值的低26个bit从低到高
分别对应A-Z驱动器,各bit位=1时为有效)
NoFind隐藏开始菜单中的“查找”项(=1时为有效)
NoRun隐藏开始菜单中的“运行”项(=1时为有效)
NoNetHood隐藏桌面的“网上邻居”图标(=1时为有效)
NoSetTaskbar禁止开始菜单的“设置”项中设置“任务栏和开
始菜单”(=1时为有效)
NoSetFolder禁止开始菜单的“设置”项中设置“文件夹选项”
(=1时为有效)
NoViewContextMenu隐藏在桌面空白处右击鼠标时弹出的上下文菜单
(=1时为有效)
NoStartBanner隐藏WINDOWS启动时出现在任务栏的箭头标
示和“单击此处开始”字样
NoTrayContextMenu隐藏任务栏上按右键时弹出的菜单(=1时为有
效)
NoFileMenu
NoEntireNetwork隐藏“网上邻居”中的“整个网络”(=1时为有
效)
NoCommonGroups
NoClose隐藏开始菜单中的“关闭系统”项(=1时为有
效)
NoSaveSetting退出前不保存设置(=1时为有效)
2、进入
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
后,在子键“System”下新建以下DWORD值(=1时为有效)
DisableRegistryTools禁止编辑注册表编辑器
NoDispAppearancePage隐藏显示属性中的“外观”属性页
NoDispBackgroundPage隐藏显示属性中的“背景”属性页
NoDispCPL禁止设置显示属性
NoDispScrSavPage隐藏显示属性中的“屏幕保护”属性页
NoDispSettingsPage隐藏显示属性中的“设置”属性页
3、进入
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
后,在子键“Network”下新建以下DWORD值(=1时为有效)
NoWorkgroupContents隐藏“网上邻居”中的工作站显示
NoEntireNetwork隐藏“网上邻居”中的整个网络显示
NoFileSharingControl禁止文件共享
NoPrintSharingControl禁止打印机共享
4、进入
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
后,新建主键“WinOldApp”后,在该子键下新建DWORD值(=1时为有效)
Disable禁止使用MS-DOS模式
NoRealMode禁止使用单一模式的MS-DOS
5、锁定“我的电脑”、“我的文档”、“回收站”、“控制面板”等。
A、锁定我的电脑
进入HKEY_CLASSES_ROOT
\CLSID
\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
\InProcServer32
后,在“默认”串值后加上“-”符号,例如原值若为‘shell32.dll’则修改为‘shell32.dll-’
B、同理可锁定
我的文档:{450D8FBA-AD25-11D0-98A8-0800361B1103}
控制面板:{21EC2020-3AEA-1069-A2DD-08002B30309D}
回收站:{645FF040-5081-101B-9F08-00AA002F954E}
6、限制运行Windows应用程序
进入HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Policies
\Explorer
\RestrictRun
后,在该子键下新建串值,串值从“1”开始命名,串值为能运行的应用程序路径名。如:
名称数据
1“c:\windows\myprogram1”
2“d:\….\myprogram2”
该限制启动后,只有在RestrictRun列表内的程序能够运行,请保证Systray.exe程序包含在列表中。
2、编程实现
一般来讲,最好用编程的方法来修改注册表而不是手工,因为手工操作容易造成失误使系统的损坏,不过建议在对注册表进行任何形式的操作前先将其进行备份以防万一。
对注册表操作的函数有许多,其中实现以上设置修改的主要有:
1、RegOpenKeyEx()打开指定的关键字(32位Windows)
2、RegSetValueEx()在打开的注册表关键字的值域中存储数据。它可以设置另加的
值和类型信息到指定的关键字中
3、RegCloseKey()释放指定关键字的句柄
修改注册表使电脑更安全
对于个人用户在家里使用计算机,这样的安全控制有时是没有必要的,但对于网吧,公共机房的管理者和使用者了解这些安全控制还是很有用的,使你可以轻松简单的控制你的计算机,也大大的减少了你的维护工作。
禁用使用注册表编辑器Regedit
注册表对于很多用户来说是很危险的,尤其是初学者,为了安全,最好还是禁止注册表编辑器regedit.exe运行,在公共机房更加重要,不然你的机器一不小心就被改得一塌糊涂了。
打开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,如果你发现Policies下面没有System主键,则请在它下面新建一个主键,取名System,然后在右边空白处新建一个DWORD串值,名字取为DisableRegistryTools,把它的值修改它的值为1,这样修改以后,使用这个计算机的人都无法再运行regedit.exe来修改注册表了,当然也包括你自己了,如果要恢复的话,请把下面的这段代码存为一个REG.REG文件,然后重新启动:
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
隐藏和禁止使用“控制面板”
控制面板是Windows系统的控制中心,可以对设备属性,文件系统,安全口令等很多系统很关键的东西进行修改,你当然需要防范这些了。
打开\\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\中新建DWORD值NoDispCPL,把值修改为1(十六进制)即可。
禁止使用任何程序
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边的窗口中新建一个DWORD串值:“RestrictRun”,把它的值设为“1”。这样我们就能做到禁止在Windows98中运行任何程序。
修改注册表只允许用户使用由你指定的程序
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边的窗口中新建一个DWORD串值:“RestrictRun”,把它的值设为“1”。然后在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为你允许用户使用的程序名。例如将“1”、“2”、“3”分别设置为word.EXE、notepad.EXE、empires.EXE,则用户只能使用word、写字板、帝国时代了,这样你的系统将会做到最大的保障,也可以限制用户运行不必要的软件了。
禁用"任务栏属性"功能
任务栏属性功能,可以方便用户对开始菜单进行修改,可以修改Windows系统的很多属性和运行的程序,这在我们看来是件很危险的事情,所以有必要禁止对它的修改。
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右窗格内新建一个DWORD串值"NoSetTaskBar",然后双击"NoSetTaskBar"键值,在弹出的对话框的"键值"框内输入1。
禁止修改显示属性
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System在右边的窗口中新建一个DOWRD串值:然后将“新值#1”更名为“NoDispCPL”,并将其值设为“1”就可以的了。
禁止使用“控制面版”中的“密码”图标设置功能
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右侧窗口中新建Dword串值,然后将“新值#1”更名为“NoSecCPL”,然后把它的值设置为1就行的了。
禁止使用“密码”下的“更改密码”标签
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右侧窗口新建Dword串值,然后将“新值#1”更名为“NoPwdPage”,然后把它的值设置为1即可。
禁止使用“密码”下的“远程管理”标签
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右侧窗口中新建Dword串值,然后将“新值#1”更名为“NoAdminPage”,然后把它的值设置为1即可。
禁止使用控制面板中的系统管理程序
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\system\,在右边窗口新建DWORD串值“NoDevMgrP-age”并把它的值改为“1”就行。
禁止修改“开始”菜单
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore,在右边的窗口中新建一个DWORD串值:“NoChangeStartMenu”,并把它的值改为“1”。
在桌面上隐藏“网上邻居”
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边的窗口中新建DWORD值NoNetHood,值为1(十六进制)。
禁止屏幕保护使用密码
打开HKEY_CURRENT_USER\ControlPanel\desktop\ScreenSaveUsePassword修改它的值,值为0或1,0为不设密码,1则使用预设的密码,你根据自己的需要设置就行的了。
不允许改变启动菜单
打开HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,在右边的窗口中新建一个DWORD串值“NoChangeStartMenu”,并设值为“1”即可。
禁止在“系统属性”中出现“文件系统”的菜单
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,在右边的窗口中新建一个DWORD串值:“NoFileSysPage”,然后把它的值改为“1”即可。
禁止在“系统属性”中出现“设备管理器”的菜单
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,在右边的窗口中新建一个DWORD串值:“NoDevMgrPage”,然后把它的值改为“1”。
禁止在“系统属性”中出现“硬件配置文件”的菜单
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,在右边的窗口中新建一个DWORD串值:“NoConfigPage”,然后把它的值为“1”。
更改IE的安全口令
你可以在IE的"Internet选项"对话框的"内容"选项页的"分级审查"框中设置口令,这样,在显示有关的页面时,总会出现"分级审查不允许查看"的提示信息,然后弹出口令对话框,要求您输入监护人口令。如果口令不对,则将停止浏览。但是,如果你把这个口令给遗忘了,你将无法浏览这些页面。在口令遗忘后,即使你重新安装IE4.0也是无法去掉安全口令,这时你只有求助于注册表:
打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies,在Policies子键下选择"Ratings"子键,按Del键将其删除,由于Ratings子键下的Key键值数据就是经过加密后的口令,删除了这一项,IE中的口令也就去掉了。
清除各种历史纪录
在Windows98系统中保留着使用者的各种历史纪录,其中包括最近打开的文档、程序、查找过的文件及在网络上的使用情况。在公共机房上机时,为了我们个人安全需要,我们很需要删除这些历史纪录,但一般的删除方法很不干净,这就得求助于注册表了。
打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer,删除表中所示的键,清除Windows\Recent中的内容,刷新文档菜单,这样就能去掉你的记录。下面是这个目录下的表项:
位置注册表中位置
DocumentsmenuRecentDocs
RundialogRunMRU
FindFilesdialogDocFindSpecMRU
FindComputerdialogFindComputerMRU
公共机房的安全和系统稳定是很重要的,这里讲的只是最基本的保护功能,如果你要实现很好的保护,你必须求助于另外的管理软件了,这里只是为你提供一点小小的帮助。
修改注册表,完善你的系统
1.修改注册表、优化磁盘文件系统
在Windows98系统中,磁盘缓冲是动态分配的,不需要用户进行任何手工干预,用户也不需要在AUTOEXEC.BAT和CONFIG.SYS文件中装入SHARE和SMARTDRV等磁盘缓冲程序。缓冲的大小也是动态变化的。如果用户发现磁盘缓冲不能够再增加了,这说明用户使用的可能是实模式磁盘驱动程序。这时,用户最好使用一个保护模式的替代驱动程序,以提供32位的磁盘访问。
用户可以在“控制面板”的“系统属性”对话框中配置文件系统的性能,在“性能”选项页中单击“文件系统”按钮。在“计算机主要用途”列表框中,用户可以选择自己使用的计算机用途。其中“台式机”意味着计算机中具有比最小限制要多的内存数,而且系统也不是使用电池供电。“便携或接驳式系统”意味着计算机的内存数量比较小,而且使用电池供电,所有磁盘缓冲必须尽可能快地进行更新。“网络服务器”意味着计算机将作为网络中的对等式服务器提供文件和打印机共享服务,所以计算机中有足够的内存,并且需要非常频繁的磁盘读写,Windows98将整个系统按照允许大量磁盘读写进行优化。所以如果我们想提高自己机器的性能你可以加大缓冲区的设置,把你机器用途设置为“服务器”这样也能提高系统的整体性能。
这些计算机配置都会影响到注册表中的下列参数设置:
●PathCache:指定文件系统用来保存最近使用目录路径的缓冲数量。该缓冲能够减少文件系统提供文件分配表查找路径的机会,而只需要在缓冲中进行查找。对于“台式机”该参数设置为32,对于“便携或接驳式系统”是16,对于“网络服务器“是64,我们要优化系统只要把它设置为64就好。
●NameCache:该缓冲用于存放最近使用的文件名所在的位置。该缓冲和PathCache联合使用就能够使文件系统不需要从磁盘中查找缓冲文件名的位置。NameCache和Path-Cache都是使用普通系统堆之外的内存。对于“台式机”文件名缓冲设置为677个文件名(8KB),对于“便携或接驳式系统”是337个文件名(4KB),对于“网络服务器”是2729个文件名(16KB)。
●BufferIdleTimeout,BufferAgeTimeout和VolumeIdleTimeout:用来控制变化过的数据写到缓冲和写到磁盘之间的时间间隔。
●ContigFileAllocSize:当在MS-DOS文件系统中存储文件时,文件系统只要找到一个磁盘自由空间,就把数据写进去,而不管这个自由空
服务器的操作系统和我们用的操作系统有什么区别目前服务器常用的操作系统有三类:
-Unix
-Linux
-WindowsNT/2000/2003Server.
这些操作系统都是符合C2级安全级别的操作系
统.但是都存在不少漏洞,如果对这些漏洞不了
解,不采取相应的措施,就会使操作系统完全暴
露给入侵者.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
UNIX系统
UNIX操作系统是由美国贝尔实验室开发的
一种多用户,多任务的通用操作系统.
诞生于1969年,在GE645计算机上实现一
种分时操作系统的雏形
1970年给系统正式取名为Unix操作系统.
到1973年,Unix系统的绝大部分源代码都
用C语言重新编写过,大大提高了Unix系统
的可移植性,也为提高系统软件的开发效率
创造了条件.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
主要特色
UNIX操作系统经过20多年的发展后,已经成为一种成
熟的主流操作系统,并在发展过程中逐步形成了一些
新的特色,其中主要特色包括5个方面.
-(1)可靠性高
-(2)极强的伸缩性
-(3)网络功能强
-(4)强大的数据库支持功能
-(5)开放性好
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
Linux系统
Linux是一套可以免费使用和自由传播的
类Unix操作系统,主要用于基于Intelx86
系列CPU的计算机上.
Linux是在GPL(GeneralPublic
License)保护下的自由软件,版本有:
Redhatlinux,Suse,Slackware,
Debian等;国内有:XteamLinux,红旗
Linux.Linux流行的原因是免费并且功能
强大.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
Linux典型的优点
(1)完全免费
(2)完全兼容POSIX1.0标准
(3)多用户,多任务
(4)良好的界面
(5)丰富的网络功能
(6)可靠的安全,稳定性能
(7)支持多种平台
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
Windows系统
WindowsNT(NewTechnology)是微软
公司第一个真正意义上的网络操作系统,
发展经过NT3.0,NT40,NT5.0
(Windows2000)和NT6.0(Windows
2003)等众多版本,并逐步占据了广大的
中小网络操作系统的市场.
WindowsNT众多版本的操作系统使用了
与Windows9X完全一致的用户界面和完全
相同的操作方法,使用户使用起来比较方
便.与Windows9X相比,WindowsNT的
网络功能更加强大并且安全.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
WindowsNT系列操作系统
WindowsNT系列操作系统具有以下三方面的优点.
(1)支持多种网络协议
-由于在网络中可能存在多种客户机,如Windows95/98,Apple
Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的
网络协议,如TCP/IP协议,IPX/SPX等.WindowsNT系列操作支
持几乎所有常见的网络协议.
(2)内置Internet功能
-内置IIS(InternetInformationServer),可以使网络管理员轻松
的配置WWW和FTP等服务.
(3)支持NTFS文件系统
-NT同时支持FAT和NTFS的磁盘分区格式.使用NTFS的好处主要
是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文
件,目录设置权限,这样当多用户同时访问系统的时候,可以增加
文件的安全性.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
安全配置方案初级篇
安全配置方案初级篇主要介绍常规的操作
系统安全配置,包括十二条基本配置原
则:
(1)物理安全,(2)停止Guest帐号,
(3)限制用户数量
(4)创建多个管理员帐号,(5)管理员帐号改名
(6)陷阱帐号,(7)更改默认权限,(8)设置
安全密码
(9)屏幕保护密码,(10)使用NTFS分区
(11)运行防毒软件,(12)确保备份盘安全.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
1,物理安全
服务器应该安放在安装了监视器的隔离房
间内,并且监视器要保留15天以上的摄像
记录.
另外,机箱,键盘,电脑桌抽屉要上锁,
以确保旁人即使进入房间也无法使用电
脑,钥匙要放在安全的地方.
2,停止Guest帐号
在计算机管理的用户里面把Guest帐号停用,任何时候都不允许
Guest帐号登陆系统.
为了保险起见,最好给Guest加一个复杂的密码,包含特殊字符,数
字,字母的长字符串.
用它作为Guest帐号的密码.并且修改Guest帐号的属性,设置拒绝
远程访问,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
3限制用户数量
去掉所有的测试帐户,共享帐号和普通部门帐号
等等.用户组策略设置相应权限,并且经常检查
系统的帐户,删除已经不使用的帐户.
帐户很多是黑客们入侵系统的突破口,系统的帐
户越多,黑客们得到合法用户的权限可能性一般
也就越大.
对于WindowsNT/2000主机,如果系统帐户超过
10个,一般能找出一两个弱口令帐户,所以帐户
数量不要大于10个.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
4多个管理员帐号
虽然这点看上去和上面有些矛盾,但事实上是服
从上面规则的.创建一个一般用户权限帐号用来
处理电子邮件以及处理一些日常事物,另一个拥
有Administrator权限的帐户只在需要的时候使
用.
因为只要登录系统以后,密码就存储再
WinLogon进程中,当有其他用户入侵计算机的
时候就可以得到登录用户的密码,尽量减少
Administrator登录的次数和时间.
5管理员帐号改名
Windows2000中的Administrator帐号是不能被停用的,这意味着
别人可以一遍又一边的尝试这个帐户的密码.把Administrator帐户
改名可以有效的防止这一点.
不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用
户,比如改成:guestone.具体操作的时候只要选中帐户名改名就
可以了,如图所示.
6陷阱帐号
所谓的陷阱帐号是创建一个名为"Administrator"的本地帐
户,把它的权限设置成最低,什么事也干不了的那种,并
且加上一个超过10位的超级复杂密码.
这样可以让那些企图入侵者忙上一段时间了,并且可以借
此发现它们的入侵企图.可以将该用户隶属的组修改成
Guests组,如图所示.
7更改默认权
限共享文件的权限从"Everyone"组改成"授权用户"."Everyone"在
Windows2000中意味着任何有权进入你的网络的用户都能够获得这
些共享资料.
任何时候不要把共享文件的用户设置成"Everyone"组.包括打印共
享,默认的属性就是"Everyone"组的,一定不要忘了改.设置某文
件夹共享默认设置如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
8安全密码
一些网络管理员创建帐号的时候往往用公司名,
计算机名,或者一些别的一猜就到的字符做用户
名,然后又把这些帐户的密码设置得比较简单,
这样的帐户应该要求用户首此登陆的时候更改成
复杂的密码,还要注意经常更改密码.
这里给好密码下了个定义:安全期内无法破解出
来的密码就是好密码,也就是说,如果得到了密
码文档,必须花43天或者更长的时间才能破解出
来,密码策略是42天必须改密码.
9屏幕保护密码
设置屏幕保护密码是防止内部人员破坏服务器的一个屏
障.
还有一点,所有系统用户所使用的机器也最好加上屏幕保
护密码.
将屏幕保护的选项"密码保护"选中就可以了,并将等待时
间设置为最短时间"1秒",如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
10NTFS分区
把服务器的所有分区都改成NTFS格式.NTFS文
件系统要比FAT,FAT32的文件系统安全得多.
11防毒软件
Windows2000/NT服务器一般都没有安装防毒软
件的,一些好的杀毒软件不仅能杀掉一些著名的
病毒,还能查杀大量木马和后门程序.
要经常升级病毒库.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
12备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢
复资料的唯一途径.备份完资料后,把备
份盘防在安全的地方.
把资料备份放在多台服务器上.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
安全配置方案中级篇
安全配置方案中级篇主要介绍操作系统的安全策
略配置,包括十条基本配置原则:
(1)操作系统安全策略,
(2)关闭不必要的服务
(3)关闭不必要的端口,
(4)开启审核策略
(5)开启密码策略,
(6)开启帐户策略,(7)备份敏感文件
(8)不显示上次登陆名,(9)禁止建立空连接
(10)下载最新的补丁
1操作系统安全策略
利用Windows2000的安全配置工具来配置安全策略,微
软提供了一套的基于管理控制台的安全配置和分析工具,
可以配置服务器的安全策略.
在管理工具中可以找到"本地安全策略".
可以配置四类安全策略:帐户策略,本地策略,公钥策略
和IP安全策略.在默认的情况下,这些策略都是没有开启
的.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
2关闭不必要的服务
Windows2000的TerminalServices(终
端服务)和IIS(Internet信息服务)等都
可能给系统带来安全漏洞.
为了能够在远程方便的管理服务器,很多
机器的终端服务都是开着的,如果开了,
要确认已经正确的配置了终端服务.
有些恶意的程序也能以服务方式悄悄的运
行服务器上的终端服务.要留意服务器上
开启的所有服务并每天检查.
Windows2000可禁用的服务
服务名说明
ComputerBrowser维护网络上计算机的最新列表以及提供这个
列表
Taskscheduler允许程序在指定时间运行
RoutingandRemote
Access
在局域网以及广域网环境中为企业提供路由
服务
Removablestorage管理可移动媒体,驱动程序和库
RemoteRegistryService允许远程注册表操作
PrintSpooler将文件加载到内存中以便以后打印.要用打
印机的用户不能禁用这项服务
IPSECPolicyAgent管理IP安全策略以及启动
ISAKMP/Oakley(IKE)和IP安全驱动程序
DistributedLinkTracking
Client
当文件在网络域的NTFS卷中移动时发送通
知
Com+EventSystem提供事件的自动发布到订阅COM组件
3关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵
的机会就会少一些,但是不可以认为高枕无忧了.
用端口扫描器扫描系统所开放的端口,在
Winnt\system32\drivers\etc\services文件中有知名端口和服务的对
照表可供参考.该文件用记事本打开如图所示.
设置本机开放的端口
设置本机开放的端口和服务,在IP地址设置窗口
中点击按钮"高级",如图所示.
设置本机开放的端口
在出现的对话框中选择选项卡"选项",选中
"TCP/IP筛选",点击按钮"属性",如图所示.
设置本机开放的端口
设置端口界面如图所示.
一台Web服务器只允许TCP的80端口通过就可以了.
TCP/IP筛选器是Windows自带的防火墙,功能比较强
大,可
以替代防火墙的部分功能.4开启审核策略
安全审核是Windows2000最基本的入侵检测方法.当有人尝试对系
统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件
访问等等)入侵的时候,都会被安全审核记录下来.
必须开启的审核如下表:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
审核策略默认设置
审核策略在默认的情况下都是没有开启的,如图所
示.
设置审核策略
双击审核列表的某一项,出现设置对话框,将复
选框"成功"和"失败"都选中,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
5开启密码策略
密码对系统安全非常重要.本地安全设置
中的密码策略在默认的情况下都没有开
启.需要开启的密码策略如表所示
策略设置
密码复杂性要求启用
密码长度最小值6位
密码最长存留期15天
强制密码历史5个
设置密码策略
设置选项如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
6开启帐户策略
开启帐户策略可以有效的防止字典式攻击,
设置如表所示.
策略设置
复位帐户锁定计数器30分钟
帐户锁定时间30分钟
帐户锁定阈值5次
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
设置帐户策略
设置的结果如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
7备份敏感文件
把敏感文件存放在另外的文件服务器中;
把一些重要的用户数据(文件,数据表和
项目文件等)存放在另外一个安全的服务
器中,并且经常备份它们
8不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆
的帐户名,本地的登陆对话框也是一样.黑客们可以得到系统的一些
用户名,进而做密码猜测.
修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键
下修改子键:
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
DisplayLastUserName,将键值改成1,如图所示.
9禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以
枚举出帐号,猜测密码.
可以通过修改注册表来禁止建立空连接.在
HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnon
ymous,将键值改成"1"即可.如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
10下载最新的补丁
很多网络管理员没有访问安全站点的习
惯,以至于一些漏洞都出了很久了,还放
着服务器的漏洞不补给人家当靶子用.
经常访问微软和一些安全站点,下载最新
的ServicePack和漏洞补丁,是保障服务
器长久安全的唯一方法.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
安全配置方案高级篇
高级篇介绍操作系统安全信息通信配置,包
括十四条配置原则:
(1)关闭DirectDraw,(2)关闭默认共享
(3)禁用DumpFile,(4)文件加密系统
(5)加密Temp文件夹(6)锁住注册表,
(7)关机时清除文件
(8)禁止软盘光盘启动(9)使用智能卡,
(10)使用IPSec
(11)禁止判断主机类型,(12)抵抗DDOS
(13)禁止Guest访问日志
(14)数据恢复软件
1关闭DirectDraw
C2级安全标准对视频卡和内存有要求.关闭DirectDraw可能对一些
需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的
商业站点都是没有影响的.
在HKEY_LOCAL_MACHINE主键下修改子键:
SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo
ut,将键值改为"0"即可,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
2关闭默认共享
Windows2000安装以后,系统会创建一些隐藏的
共享,可以在DOS提示符下输入命令NetShare查
看,如图所示.
停止默认共享
禁止这些共享,打开管理工具>计算机管理>共享文件夹>
共享,在相应的共享文件夹上按右键,点"停止共享"即
可,如图所示.
3禁用Dump文件
在系统崩溃和蓝屏的时候,Dump文件是一份很有用资
料,可以帮助查找问题.然而,也能够给黑客提供一些敏
感信息,比如一些应用程序的密码等
需要禁止它,打开控制面板>系统属性>高级>启动和故障
恢复,把写入调试信息改成无,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
4文件加密系统
Windows2000强大的加密系统能够给磁盘,文
件夹,文件加上一层安全保护.这样可以防止别
人把你的硬盘挂到别的机器上以读出里面的数
据.
微软公司为了弥补WindowsNT4.0的不足,在
Windows2000中,提供了一种基于新一代
NTFS:NTFSV5(第5版本)的加密文件系统
(EncryptedFileSystem,简称EFS).
EFS实现的是一种基于公共密钥的数据加密方
式,利用了Windows2000中的CryptoAPI结
构.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
5加密Temp文件夹
一些应用程序在安装和升级的时候,会把
一些数据拷贝到Temp文件夹,但是当程序
升级完毕或关闭的时候,并不会自己清除
Temp文件夹的内容.
所以,给Temp文件夹加密可以多一层保
护.
6锁住注册表在Windows2000中,只有Administrators和BackupOperators才有从
网络上访问注册表的权限.当帐号的密码泄漏以后,黑客也可以在远程
访问注册表,当服务器放到网络上的时候,一般需要锁定注册表.修改
Hkey_current_user下的子键
Software\microsoft\windows\currentversion\Policies\system
把DisableRegistryTools的值该为0,类型为DWORD,如图所示.
7关机时清除文件页面文件也就是调度文件,是Windows2000用来存储没有装入内存
的程序和数据文件部分的隐藏文件.
一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文
件中可能含有另外一些敏感的资料.要在关机的时候清除页面文件,
可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:
-SYSTEM\CurrentControlSet\Control\SessionManager\Memory
Management
-把ClearPageFileAtShutdown的值设置成1,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
8禁止软盘光盘启动
一些第三方的工具能通过引导系统来绕过原有的
安全机制.比如一些管理员工具,从软盘上或者
光盘上引导系统以后,就可以修改硬盘上操作系
统的管理员密码.
如果服务器对安全要求非常高,可以考虑使用可
移动软盘和光驱,把机箱锁起来仍然不失为一个
好方法.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
9使用智能卡
对于密码,总是使安全管理员进退两难,
容易受到一些工具的攻击,如果密码太复
杂,用户把为了记住密码,会把密码到处
乱写.
如果条件允许,用智能卡来代替复杂的密
码是一个很好的解决方法.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
10使用IPSec
正如其名字的含义,IPSec提供IP数据包的
安全性.
IPSec提供身份验证,完整性和可选择的机
密性.发送方计算机在传输之前加密数
据,而接收方计算机在收到数据之后解密
数据.
利用IPSec可以使得系统的安全性能大大增
强.
11禁止判断主机类型
黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类
型,通过Ping指令能判断目标主机类型.Ping的用处是检测目标主
机是否连通.
许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据
对方的操作系统,是Windows还是Unix.如过TTL值为128就可以认
为你的系统为Windows2000,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
TTL值-判断主机类型
从表中可以看出,TTL值为128,说明改主机的操作系统
是Windows2000操作系统.下表给出了一些常见操作系
统的对照值.
操作系统类型TTL返回值
Windows2000128
WindowsNT107
win9x128or127
solaris252
IRIX240
AIX247
Linux241or240
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
修改TTL的值
修改TTL的值,入侵者就无法入侵电脑了.比如将操作系统的TTL值
改为111,修改主键HKEY_LOCAL_MACHINE的子键:
SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME
TERS
新建一个双字节项,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
修改TTL的值
在键的名称中输入"defaultTTL",然后双击改键名,选择
单选框"十进制",在文本框中输入111,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
修改TTL的值
设置完毕重新启动计算机,再用Ping指令,发现
TTL的值已经被改成111了,如图所示.
12抵抗DDOS
添加注册表的一些键值,可以有效的抵抗DDOS的攻击.在键值
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp
ip\Parameters]下增加响应的键及其说明如表所示.
增加的键值键值说明
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000000
"KeepAliveTime"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
基本设置
"EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击
"SynAttackProtect"=dword:00000002防止SYN洪水攻击
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxHalfOpen"=dword:00000100
仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置
超出范围时,保护机制才会采取
措施
"IGMPLevel"=dword:00000000不支持IGMP协议
"EnableDeadGWDetect"=dword:00000000禁止死网关监测技术
"IPEnableRouter"=dword:00000001支持路由功能
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
13禁止Guest访问日志
在默认安装的WindowsNT和Windows2000中,Guest
帐号和匿名用户可以查看系统的事件日志,可能导致许多
重要信息的泄漏,修改注册表来禁止Guest访问事件日
志.
禁止Guest访问应用日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Application下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1.
系统日志:
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\System下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1.
安全日志
-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic
es\Eventlog\Security下添加键值名称为:
RestrictGuestAccess,类型为:DWORD,将值设置为1.
14数据恢复软件
当数据被病毒或者入侵者破坏后,可以利用数据恢复软件
可以找回部分被删除的数据,在恢复软件中一个著名的软
件是EasyRecovery.软件功能强大,可以恢复被误删除
的文件,丢失的硬盘分区等等.软件的主界面如图所示.
EasyRecovery
比如原来在E盘上有一些数据文件,被删除了,选择左边
栏目"DataRecovery",然后选择左边的按钮
"AdvancedRecovery",如图所示.
EasyRecovery
进入AdvancedRecovery对话框后,软件自动扫描出目
前硬盘分区的情况,分区信息是直接从分区表中读取出来
的,如图所示.
EasyRecovery
现在要恢复E盘上的文件,所以选择E盘,点击按
钮"Next",如图所示.
EasyRecovery
软件开始自动扫描该盘上曾经有哪些被删除了文件,根据
硬盘的大小,需要一段比较长的时间,如图所示.
EasyRecovery
扫描完成以后,将该盘上所有的文件以及文件夹显示出
来,包括曾经被删除文件和文件夹,如图所示.
EasyRecoery
选中某个文件夹或者文件前面的复选框,然后点
击按钮"Next",就可以恢复了.如图所示.
EasyRecovery
在恢复的对话框中选择一个本地的文件夹,将文件保存到
该文件夹中,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
EasyRecovery
选择一个文件夹后,点击按钮"Next",就出现了恢复的
进度对话框,如图所示.
BJFUInfoDepartment,QiJd第七章操作系统安全配置方案
本章总结
本章分成三部分介绍Windows2000的安
全配置.
三部分共介绍安全配置三十六项,如果每
一条都能得到很好的实施的话,该服务器
无论是在局域网还是广域网,即使没有网
络防火墙,已经比较安全了.
需要重点理解三大部分中的每一项设置,
并掌握如何设置.
OK,本文到此结束,希望对大家有所帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 931614094@qq.com 举报,一经查实,本站将立刻删除。