windows安全必须关注的注册表键值

ZackEdge 2015-10-01

展开全文

1、Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

2、RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

3、RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

4、RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

5、RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
(该键是Windows XP/2003特有的自启动注册表项)

6、UserInit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit
（合法值为：c:\windows\system32\userinit.exe）

7、load
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

8、镜像劫持
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options

9、禁止任务栏、文件夹选项、注册表等
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit

10、禁止修改IE浏览器主页
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\control panel\homepage
值为1 表示禁止修改
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\main\Startpage
(以上适合win200 2003 xp)

vista 、win7 设置如下：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\Start Page

11、隐藏磁盘分区
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrivers

12、修改文件关联
HKEY_CLASSES_ROOT\textfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\textfile\shell\open\command

13、SPI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries

14、BHO
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
此键下是系统注册的所有BHO的CLSID
GUID(Global Unique Identifier) 也成为Class ID 简称CLSID

15、CLSID
HKEY_CLASSES_ROOT\CLSID
在此键下的ID 对应着系统里面的不同程序、组件

16、IE默认前缀
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

17、
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\MenuExt
IE网页右键菜单
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\Extension registry key
对应于IE工具栏上的按钮或者在IE的工具菜单中非默认安装的项目

18、IE高级选项?
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\AdvancedOptions
对应于IE选项高级选项卡下面的项目

19、IE扩展
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\Plugins

20、IE默认设置
c:\windows\inf\iereset.inf(IE默认配置信息)

21、IE可信区域

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domain
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges

IE授权区域与识别码对应关系

区域                                  区域映射
My Computer                           0

Intranet                              1

Trusted                               2Internet                              3

Restricted                            4

=======================================================================

协议与授权区域的对应关系

HTTP                                  3

HTTPS                                 3

FTP                                   3

@vit                                  1

shell                                 0

=========================================================================

对应的注册表键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ProtocolDefaults

22、域名劫持
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\tcpip\Parameters\Interfaces\{0F3EE3DD-D14D-4925-8671-87F4D7244B91}\NameServer

HKEY_LOCAL_MACHINE\Software\Class\PROTOCOLS
额外的协议和协议劫持，黑客通过将我们计算机使用的标准的协议驱动更改为劫持程序所提供的驱动来实现

23、用户样式表劫持
键值： HKEY_CURRENT_USER\Software\Microsoft\internet explorer\Style\User Stylesheets

24、AppInit_DLLs注册表值自启动载入

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows\AppInit_DLLs

user32.dll能够被许多进程或是程序使用，也包括一些自启动进程，AppInit_DLLs注册表值包含了当user32.dll被载入时将会被载入的一连串动态链接库

25、Winlogon Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

26、自动载入

ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ShellServiceObjectDelayLoad键值下面的文件会被计算机外壳程序Explorer.exe自动载入
ShellServiceObjectDelayLoad下面的键值指向的是CLSID

SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
随windows启动而被载入

服务
服务时windows启动的时候自动载入的程序，这些服务程序无论是否有使用者登录到计算机都会被载入，而且常用于处理系统任务

删除服务

(1)命令行命令sc dete servername

(2)注册表删除
Windows Registry Editor Version 5.00
[- ........] 保存为reg文件，导入注册表即可删除该项

删除键值

[..........]
"键值名"=-
导入即可

(3)相关的服务删除工具

27、IE收藏夹、IE浏览历史、cookies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

28、禁止C$、D$、ADMIN$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为
AutoShareServer值设为0
新建Dword值AutoShareWks 0（xp win7 vista）

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本// AutoShareServer 对server版本// 0

禁止管理共享admin$,c$,d$之类默认共享

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动

29、隐藏重要文件/目录
可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol der\Hi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

30、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD 值，名为SynAttackProtect，值为2

31、禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

32、防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0

33、不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0

34、终端服务的默认端口为3389，可考虑修改为别的端口。
修改方法为：服务器端：打开注册表，在 “HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法：菜单→文件→导入)，这样客户端就修改了端口。

35、修改系统默认日志存储位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
日志文件大小限制
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\****\MaxSize
更换日志存储位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\****\File

36、Schedluler(任务计划)服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

37、禁止建立空连接(对匿名连接的限制)：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous 设置为1

38、wins客户端启用wins代理
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

EnableProxy 类型DWORD

39、微软office软件相关选项
HKEY_CURRENT_USER\Software\Microsoft\office

40、tcp半连接数

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
---可以定义TCP半连接数的大小（适用于win2000系统）

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableConnectionRateLimiting
若无EnableConnectionRateLimiting键值表示你的系统没有tcp/ip连接限制，如有且值为0也表示你的系统没有tcp/ip
连接限制，值为1表示受tcp/ip连接限制，将其修改为0即可取消限制。(适用于vista sp2 和win7)

41、TCP连接延迟

HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay

TcpTimedWaitDelay默认是1e（30秒）（win7及其2008）

42、tcp用户最大使用端口
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort

43、关闭无效网关的检查
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect"=dword:00000000
(2000、xp)

44、不允许释放NETBIOS名
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"NonameReleaseOnDemand"=dword:00000001
(2000sp2、xp)

45、禁止Guest账户访问日志
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
将其3个子键Application、Security、System 下面的RestrictGuestAccess值改为1

46、禁止显示上一次登陆的用户名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
修改Dontdisplaylastusername为1

47、禁用文件名创建
取消windows server2008和windows server2003为兼容以前微软文件名命名方式带来的性能损失
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem
设置NtfsDisable8dot3NameCreation为1
当然这个键项下面还有其他一些关于文件系统方面的设置，如是否加密，扩展名等

48、取消因为使用例如DOS、Win16、0S/2、Posix应用系统下面的程序子系统可能带来的隐患
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems
将Optional改为0000
删除OS2、posix项
同时找到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW 删除其下的子键

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
删除其下的OS2libpath项

找到HKEY_LOCAL_MACHINE\software\Microsoft\os /2 Subsystem for nt 删除其下所有子键

49、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改IGMPLevel 为0（50）修改终端服务的默认端口
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
修改PortNumber为变更后的值
同时找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
修改PortNumber为变更后的值要记得和上面一样

50、防护系统不受一定拒绝服务的攻击
防止受SYN泛滥攻击
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
添加
DWORD值
SynAttackProtect为2
Tcpmaxhalfopen值为100
Tcpmaxhalfopenedretried的值为80
Tcpmaxportsexhausted为5

51、加强防备拒绝服务攻击
终止半开放的TCP连接数，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
条件DWORD Tcpmaxconnectresponseretransmission为3

52、TCP空链接计时器
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
添加DWORD Keepalivetime为300000，计数单位为毫秒，即为5分钟
53、不轻易改变MTU的值
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
设置DWORD :EnablePMTUDiscovery为0

54、禁止IP路由
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改DWORD :IPEnableRouter为0

55、禁止光盘自动启动
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\polices\Explorer
设置Nodrivetypeautorun为149

56、只有本地用户才可以访问软盘

找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改allocatefloppyes为1

57、只允许本地用户可以访问光盘

找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改AllocateCDRoms为1

58、关机时清除页面文件
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
修改DWORD :ClearPageFileAtShutdown为1

59、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Seting\MaxConnectionPerServer   ======IE每一个服务连接数

60、完全禁止系统模认工享
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]

61、
3389替换服务-----------------------
中修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
c:\winnt\system32\copy termsrv.exe service.exe
c:\winnt\system32\cd..
c:\winnt\sc \\127.0.0.1 config Alerter binpath= c:\winnt\system32\service.exe

62、
现在很多优化软件都有“已安装软件检测”和“软件卸载”的功能，比Windows自带的“添加或删除程序”功能要强大，其实就是扫描了下面的注册表项，有兴趣的网友可以分别展开来研究一下。
HKEY_CLASSES_ROOT\Installer\Products
HKEY_CURRENT_USER\Software\Microsoft\Installer\Products
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

63、
让注册表编辑器失忆：先找到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
然后右键单击Regedit，选择权限->Administrator，勾选上“拒绝”，如图所示，最后确定。

64、windows 文件保护
－描述
路径：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:SFCDisable
windows文件保护功能

－目前异常状况
注册表键值为空

－正常时
注册表键值为00000000

65、安全中心
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

66、右键扩展
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions