1、桌面終端安全策略，1，2，大綱，終端安全和注冊表終端安全和策略終端安全管理數(shù)據(jù)泄露防止標準個人計算機桌面環(huán)境，2，8/2/2020，終端安全和注冊表什么Windows注冊表是一組數(shù)據(jù)文件，Windows可以幫助您控制硬件、軟件、用戶環(huán)境和Windows接口，Windows目錄下的兩個文件system.dat和uses 及其備份system.da0和user .中包含的Windows 95以后，Microsoft在Windows中引入了注冊表(英語為REGISTRY )概念(實際上Windows NT中已經有這個概念)。 如果注冊表由于某種原因而損壞，Windows啟動過程會出現(xiàn)異常，在嚴重情況

2、下，整個Windows系統(tǒng)可能會完全癱瘓。 如何打開注冊表請在修復注冊表之前進行備份。 “開始”執(zhí)行輸入“regedit”確認，4，8/2/2020，注冊表結構分類1，1，1.HKEY _ users此根密鑰存儲本地計算機密碼列表中存儲的用戶id每個用戶的預配置信息HKEY_USERS是從遠程計算機訪問的根密鑰之一。 2.HKEY_CURRENT_USER此根密鑰包含本地工作站上存儲的當前登錄用戶信息(包括用戶登錄用戶名和臨時密碼) (注意：此密碼在輸入時隱藏)。 當用戶登錄到Windows 98時，該信息將從HKEY_USERS的相應條目復制到HKEY_CURRENT_USER。 3.HKE

3、Y_CURRENT_CONFIG此根密鑰包括定義當前用戶的桌面配置(例如顯示器)的數(shù)據(jù)、最后使用的文檔列表(MRU )以及當前用戶的Windows 98中文版本HKEY_CURRENT_CONFIG子關鍵字之間的連接。 5，8/2/2020，注冊表結構區(qū)分2，2，4.HKEY _ classes _ root根據(jù)Windows 98中文版本中安裝的應用程序的擴展名，此根密鑰指示該文件類型的名稱。 5.HKEY_LOCAL_MACHINE此根密鑰保存本地計算機的硬件數(shù)據(jù)。 此根密鑰下的子密鑰包含在遠程計算機可訪問的一組密鑰中，以便為HKEY_LOCAL_MACHINE提供必要的信息，此根密鑰的許

4、多子密鑰與System.ini文件中的設置類似。 圖7表示HKEY_LOCAL_MACHINE根密鑰之下的各子密鑰間的狀況。 6.HKEY_DYN_DATA此根密鑰包含運行系統(tǒng)時的動態(tài)數(shù)據(jù)。 此根密鑰下的信息不存儲在注冊表中，因為每次查看時此數(shù)據(jù)都會更改。 表示HKEY_DYN_DATA根密鑰下的各子密鑰的樣子。 6、8/2/2020、注冊表部分重要內容1、(1) HKEY _ class _ root1. HKEY _ class _ root/paint.print重新啟動后，在“我的電腦”中打開Windows目錄，選擇“大圖標” 不再是我的MSPAINT圖標，而是每個Bmp文件的縮略圖(

5、如果未安裝ACDSee等圖軟件)。 (2)如果在HKEY _ current _ user1. HKEY _ current _ user控制面板桌面上創(chuàng)建新的字符串名稱MenuShowDelay=0，則會創(chuàng)建“開始”菜單。 2 .在HKEY _ current _ usercontrolpaneldeskt-opwindowsmeterics中創(chuàng)建新的字符串名稱MinAnimate。 值為1時，將啟動“動畫效果開關”窗口，值為0時，將取消動畫效果。 注冊表部分重要內容2，(3) HKEY _ local _ machine1. HKEY _ local _ machinesoftwaremi

6、cremicrr2. HKEY _ local _ machinesystemcurrentc 3.HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionuninstall保存已安裝的windows應用程序的卸載信息。 4.HKEY _ local _ machinesystemcurrentcontrol-setservicesclass保存控制面板-添加硬件設備-設備類型目錄。 5.HKEY _ local _ machinesystemcurrent -控制集控制數(shù)據(jù)設置新方式。 值為00時設定為自動刷新，值為01時設定為

7、手動刷新，在瀏覽器中按F5鍵。6 .保存在HKEY _ local _ machinesoftwaremicrosoftwin-dowscurrentversionrun控制面板中設定的計算機啟動時執(zhí)行程序的名稱，在任務欄的右側顯示圖標。 “startup (啟動)”文件夾程序的運行時圖標也位于任務欄的右側。 7.HKEY _ local _ machinesoftwaremicrosoftwindowscurrentversionpoliciesratings是通過IE4.0中文版的“安全”“層次審查”設定的密碼(數(shù)據(jù)) 保存8.HKEY _ local _ machinesoftwarem

8、icrosoftwindowscurrentversionexplorerdesktopnamespace是桌面中的特殊區(qū)域，如回收站、收件箱和ms網(wǎng)絡注冊表部分重要內容3，(4)清除HKEY _ users1. HKEY _ users.defaultsoftwaremicrosoftinternetet文檔菜單后為空。 2.HKEY _ users.defaultso.mi. wi. current-versionex. menuorderstartmenu保留程序菜單排序信息。 3.HKEY _ users.defaultso. microsoftwindowscurrent-versi

9、onexplorerrunmru保存在“開始執(zhí)行.”中執(zhí)行的程序的列表信息。 清除文檔菜單后為空。 4.HKEY _ users.defaultso. microsoftwindowscurrent-versionexplorerrecentdocs保存最近使用的15個文檔的快捷方式(刪除可解決重復文檔名稱的缺點)， 清除5 .保存HKEY _ users.defaultsoftwaremicrosoftwindowscurrentversionappletswindows應用程序的日志數(shù)據(jù)。 6.HKEY _ users.defaultsoftwaremicrosoftwindowscurr

10、entversionrun保存用戶配置的計算機啟動時運行的程序的名稱，其圖標顯示在任務欄的右側。9、8/2/2020、注冊表使用技巧、關閉“Messenger”服務安全風險：在Windows2000/XP系統(tǒng)中，默認的Messenger服務處于啟動狀態(tài)，惡意者為net set 解決方法：在注冊表“HKEY _ local _ machinesystemcurrentcontrolsetservices”下管理，每個子密鑰都是系統(tǒng)中對應的“服務”“消息”服務START 把這個值變更為4。 如果10、8/2/2020、遠程注冊表使用技巧、遠程注冊表服務安全問題：黑客與我們的計算機連接，并且計算機啟

11、用遠程注冊表服務，則， 解決方法：將啟動遠程注冊表服務的方法設置為禁用。 在黑客入侵計算機之后，不要將服務從“禁用”更改為“自動啟動”。 因此，必須刪除此服務。 注冊表“HKEY _ local _ machinesystemcurrentcontrolsetservices”下的遠程注冊表項目，如果右鍵單擊該項目并選擇“刪除”，則刪除該項目將無法啟動本服務。11，8/2/2020、注冊表使用技巧、關閉默認共享安全風險在：windows2000/xp/2003上，系統(tǒng)默認啟用“共享”，即IPC$、c$。許多黑客和解決方法為了防止：ipc$攻擊，注冊表中的“HKEY _ local _ mach

12、inesystemcurrentcontrolsetcontrollsa”的RestrictAnonymous項必須設置為“1”。12、8/2/2020、注冊表使用技巧、c$、d$、管理$等類型的默認共享： HKEY _ local _ machinesystemcurrentcontrool windows 2000服務器或Windows 2003 、13、8/2/2020、注冊表使用技巧、禁止病毒啟動服務安全隱患：高級病毒通過系統(tǒng)服務加載。 解決方法：運行“regedt32”命令以啟用權限分配注冊表編輯器。在注冊表中找到HKEY _ local _ machinesystemcurrent

13、controlsetservices分支，然后在菜單欄中找到安全權限，14，8/2/2020，注冊表使用技巧，彈出式服務注冊表使用技術、禁止病毒運行的安全問題：許多病毒通過加載注冊表中的RUN值，從操作系統(tǒng)啟動而啟動。 我們可以按照“病毒啟動禁止服務”介紹的方法，去除對病毒和特洛伊木馬值的修改權限。 解決方法：運行“regedt32”命令啟動注冊表編輯器。 注冊表HKEY _ current _ machinesoftwaremicrosoftwindowscurrentversionrun分支將對該分支的Everyone讀取權限設置為“允許”，并取消選擇完全控制權限。 16，8/2/2020

14、，注冊表使用技巧，17，8/2/2020，注冊表使用技巧， IE默認連接首頁更改攻擊方式：更改： HKEY _ local _ machinesoftwaremicrosoftinternetexplorermainstartpagehkey _ current _ usersoftware惡意18， 8/2/2020，注冊表的使用方法，解決方法：1)windows啟動后，點擊“開始”“執(zhí)行”菜單項目，在“打開”欄中鍵入regedit，然后按2 ) 在HKEY _ local _ machinesoftwaremicrosoftinternetexplorermain下展開注冊表，在右半部分的

15、窗口中雙擊字符串值“StartPage”，將StartPage的鍵值設為3 ) 在HKEY _ current _ usersoftwaremicrosoftinternetexplorermain中展開注冊表，在右半部分的窗口中找到字符串值“StartPage”，按照2中說明的方法處理。19、8/2/2020、在Win7系統(tǒng)中備份注冊表的方法、20、8/2/2020、終端安全和安全策略、21、8/2/2020、建立安全Win7的本地策略的設定中包含監(jiān)督2 .審計策略審計策略配置確定要向管理員報告的安全事件，并記錄具有指定事件類別的用戶或系統(tǒng)活動。 管理員可以監(jiān)視與安全相關的活動，例如對象訪問者、用戶登錄或注銷計算機的時間以及是否更改了審計策略設置。 出于所有這些原因，Microsoft建議為管理員創(chuàng)建可在客戶環(huán)境中實施的審計策略。 使用組策略對象編輯器配置Windows XP審計策略設置：計算機Windows配置安全性設置本地策略審計策略設置，22，8/2/2020，安全Windows客戶