注冊表是Windows操作系統的核心。它實質上是一個龐大的數據庫,存放有計算機硬件和全部配置信息、系統和應用軟件的初始化信息、應用軟件和文檔文件的關聯關系、硬件設備說明以及各種網絡狀態信息和數據。可以說計算機上所有針對硬件、軟件、網絡的操作都是源于注冊表的。 本文詳細羅列出各種注冊表的修改實例,并明確標注其適應的范圍,以利于讀者速查。
一、Windows xp注冊表精解
Windows XP是微軟公司于2001年10月份正式推出的新的Windows操作系統。
Windows XP是Windows 2000的后續版本,以Windows2000核心代碼為基礎,不僅繼承了前者的可靠性和其它的優良性能,而且還加強了WindowsMe操作系統的系統回復、媒體播放器、圖像獲取等新功能,給用戶提供了更穩定的運行環境和方便快捷的操作。
正如上文所述,Windows XP是以Windows 2000核心代碼為基礎的,也可是完全薲ang墑荳indows 2000的一個升級版本,在注冊表方面,沒有發生太大的改變,注冊表仍然是Windows XP的核心部件。
1.Windows XP注冊表的結構
Windows XP的注冊表同樣是以樹形結構組織的。它由兩個注冊表子目錄樹組成:HKEY_LOCAL_MACHINE和HKEY_USERS。但是為了使注冊表中的信息更易于查找,Windows XP預定義了五個子目錄樹。
每個根項名均以HKEY_打頭,以便向軟件開發人員指出這是可以由程序使用的句柄。句柄是一個數值,用來識別資源便于程序進行訪問。
由于注冊表是樹形結構的,所以我們可以將注冊表里的內容分為樹枝和樹葉。樹枝下可以有多個樹枝,也可以有多個樹葉。這個樹枝,我們把它叫做"項",樹葉呢,叫做"值項"。值項包括三部分:值的名稱、值的數據類型和值本身。
下表列出系統定義和使用的值項的數據類型。
2.Windows XP注冊表編器
我們知道,注冊表內的所有信息都是存放在System.dat、User.dat文件中的,其中System.dat文件包含了所有的硬件信息和軟件信息,User.dat包含了用戶信息。如果在系統中配置了兩個或兩個以上的用戶,在Windows/PRofile/用戶名目錄中還存放有各個用戶的User.dat文件,這些文件都是二進制數據文件,修改注冊表實際上就是對上述的三個文件進行修改。但是,我們不能對這些二進制數據文件進行直接修改,而必須要借助于注冊表編輯器。注冊表編輯器實際上就是我們查看和修改注冊表文件的圖形界面。
啟動Windows XP注冊表編輯器的方法是:單擊"開始→運行",在對話框中輸入"regedit",然后點擊"確定"按鈕,注冊表編輯器就會被運行起來。它的界面和Windows 2000中的注冊表編輯器很相似。如圖1。
和以前的Windows相比,注冊表表編輯器有了一些改變。在"編輯"菜單下,有一個"權限"菜單項,通過它,可以設置各個注冊表項對于不同用戶的權限。當然,你必須是管理員才可以執行此操作。如圖2。
在"查看"菜單中,有一個"顯示二進位數據"。通過它,可以方便的查看二進制數據的內容。如圖3。
提示:你可能還記得在WindowsNT/2000中,還提供了一個32位的注冊表編輯器Regedt32.exe,其界面類似于早期Windows的文件管理器。在WindowsXP中,雖然仍然提供了Regedt32.exe,但是Regedt32.exe實際上只是一個外殼,真正執行的還是Regedit.exe。也就是說,Windows XP已經拋棄了老版本風格的Regedt32.exe了。
二、桌面外觀的修改實例
1.全面定制"開始"菜單中的圖標(適用范圍:Windows 9x/Me/NT/2000/XP)
"開始"菜單是用戶最常使用的,它里面有"程序"、"文檔"、"設置"、"搜索"、"幫助"、"運行"和"關機"等幾項圖標,我們可以通過修改注冊表來加以改變。
首先運行注冊表編輯器,進入到注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Icons。如果該注冊表項不存在,則創建它。
在該注冊表項下創建如下表中羅列的字符串類型的值項,并且修改它們的值為新的圖標。
重新啟動計算機,"開始"菜單中的圖標就全部換成了新的圖標。 提示:圖標可以直接使用可執行文件中的圖標。例如"explorer.exe,3",表示使用explorer.exe文件中的第4個圖標。
2.增加和刪除"開始"菜單中的項目
一般情況下,"開始"菜單中有"程序"、"文檔"、"設置"、"搜索"、"幫助"、"運行"和"關機"這幾項。通過修改注冊表,我們可以將一些不常用的項從"開始"菜單中刪除。如果有特殊的目的,例如網吧中的計算機可能不想讓使用者使用"開始"菜單中的"控制面板"來隨意改變計算機的設置,也可以使用此方法。
下表中的值項,都位于注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Policies/Explorer中。
3.增加和刪除桌面的固定項目(適用范圍:Windows 9x/Me/NT/2000/XP)
一般情況下,桌面上都有"我的電腦"、"網上鄰居"、"回收站"、"我的文檔"等。通過修改注冊表,我們可以不讓這些項目顯示在桌面上。這對于不希望使用者胡亂操作的場合是有用處的。例如對于網吧中的計算機,就可以將全部的桌面項目隱藏起來,以防止使用者通過"我的電腦"和"網上鄰居"等來查看計算機中的文件。
首先我們需要知道Windows中一些特殊項目(如我的電腦)對應的CLSID。見下表。
為了去除某個特殊項,可以進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/NonEnum中,新建一個以該特殊項的CLSID為名稱的雙字節值項,修改其值為1。創建完值項后,重新啟動桌面使改動生效,桌面上特殊項就會不見了。
除了上面介紹的方法,某些特殊項還有別的方式可以去除:
(1)不顯示"網上鄰居"圖標
不在桌面上顯示"網上鄰居"圖標,可以新建一個雙字節值項HKEY_CURRENT_USER/Software/ Microsoft/Windows/Current Version/Policies/Explorer/NoNetHood,修改其值為1。
(2)不顯示"Internet Explorer"圖標
不在桌面上顯示"InternetExplorer"圖標,可以新建一個雙字節值項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoInternetIcon,修改其值為1。
(3)不在顯示"鄰近的計算機"圖標(適用于Windows Me/2000/XP)
不在"網上鄰居"中顯示"鄰近的計算機"圖標,可以新建一個雙字節值項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/NoComputersNearMe,修改其值為1。
(4)不顯示"整個網絡"圖標(適用于Windows Me/2000/XP)
不在"網上鄰居"中顯示"整個網絡"圖標,可以新建一個雙字節值項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Network/NoEntireNetwork,修改其值為1。
4.修改桌面項目的圖標和提示信息(適用范圍:Windows 9x/Me/NT/2000/XP)
從Windows98開始,用戶就可以修改"我的電腦"等項目的圖標。但是,Internet Explorer項,以及其他特殊性的圖標,Windows沒有提供修改的方法。通過注冊表,我們不但可以修改這些項目的圖標,還可以修改它們的提示信息。
和上面一樣,在修改前,我們首先需要知道這些特殊性的CLSID。
例如我們將"網上鄰居"的圖標修改成Explorer,4,并且將其提示信息從"顯示網絡上的計算機"改變為"此計算機網絡由本人維護!!!",那么需要進行一下的修改:
首先取得"網上鄰居"項的CLSID: {208D2C60-3AEA-1069-A2D7-08002B30309D}。
進入到注冊表項HKEY_CLASSES_ROOT/CLSID/{208D2C60-3AEA-1069-A2D7-08002B30309D}中。
在字符串值項"DefaultIcon"中,存放了"網上鄰居"的圖標。在字符串"InfoTip"中,存放了"網上鄰居"的提示信息。修改這兩個值項的值為欲修改為的值。
這樣,"網上鄰居"的圖標和提示信息就都被修改了。同理,我們可以修改其他的特殊項。 5.定制資源管理器的模樣
通過注冊表,我們還可以定制Windows中的資源管理器。我們可以讓Windows ME/2000的資源管理器的界面和Windows98中的類似,或者禁止用戶在資源管理器中創建新的文件夾。
下表中的值項位于注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Policies/Explorer中。
下表中的值項位于注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Policies/Comdlg32中。
6.定制Internet Explorer(適用范圍:Windows 9x/Me/NT/2000/XP)
從Windows 95 OSR2到目前最新的Windows XP,所有的Windows版本都捆綁了InternetExplorer。一般地,Internet Explorer的差別只在于其版本上,而和Windows的版本沒有太大的關系。最新的WindowsXP捆綁的是IE6.0。
(1)我的Internet Explorer
在IE瀏覽器窗口的標題欄中,顯示的格式是"WEB頁面標題+IE瀏覽器標題"。其中IE瀏覽器的標題字符串是"Microsoft Internet Explorer"。通過修改注冊表,可以更換IE瀏覽器標題欄的字符串。
新建一個字符串值項HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/WindowTitle(注意有空格),修改其值為你喜歡的文字,例如修改為"我的瀏覽器",重新啟動IE瀏覽器,在IE瀏覽器窗口的標題欄中,顯示信息更改成了"我的瀏覽器"。
(2)給工具欄選個漂亮的背景
一般情況下IE瀏覽器的工具欄是沒有背景圖案的,通過注冊表我們可以給它加上背景圖案。
新建一個字符串值項HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/ToolBar/BackBitmap(或者是BackBitmapIE5),修改其值為某個BMP文件的路徑。重新啟動IE瀏覽器后,IE瀏覽器的工具欄就有了背景圖案了。
提示:IE 3.0和IE 4.0只能使用BackBitmap值項,IE 5.0和IE 6.0可以使用BackBitmap和BackBitmapIE5。如果同時設置了,則值項BackBitmapIE5的定義優先。
(3)自定義Internet Explorer的菜單顯示(適用于IE5以上)
通過修改注冊表,我們還可以自定義Internet Explorer的菜單顯示。例如,通過去除掉"查看"菜單中的"源文件"項,以及禁止Internet Explorer中的右鍵菜單,使用者就無法查看正在瀏覽的Web頁面的源代碼了。
下表的值項位于注冊表項HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Restrictions中。默認情況下,這些值項都不存在。
三、加強Windows系統安全
在目前這個病毒泛濫,"黑客橫行"的網絡時代,我們必須有備無患,加強計算機系統的安全。而注冊表作為Windows操作系統的核心部分,往往成為病毒和黑客利用的工具。如果使用者缺乏注冊表的相關知識,將無法找到病毒的"發源地",而無法將之清除。另一方面,注冊表也起著積極的作用。通過注冊表,我們可以進一步加強Windows系統的安全,防止各種非授權的使用,以防止病毒和黑客的入侵。
1.保護個人信息
如果你是和別人合用一臺計算機,或者你有比較私人的內容需要保護,那么你可以通過注冊表來加強對這些私人信息的保護。
(1)清除本機訪問信息
一般情況下,Windows為了方便使用者,總是將使用者最近訪問過的文檔、運行過的程序等信息保存下來,我們需要去除掉Windows提供的這種方便。
下表中的值項,位于注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer中。
(2)清除操作信息
在我們使用Windows操作系統的過程中,很多操作內容都被存放到了注冊表中。例如通過"開始"菜單的"運行"項運行過的程序名稱、訪問過"網上鄰居"中的計算機、訪問過計算機上的文件夾等。通過注冊表,我們可以手工清除這些信息。
(3)加密個人文件夾
上面討論的都是清除用戶適用計算機時留下的信息。下面我們利用注冊表知識,來加密我們的存放了個人信息的文件夾。
我們知道,如果想隱藏你的文件夾,通過將文件夾的屬性設置為"隱藏"是沒有用的。用戶只需要在資源管理器的"工具"→"文件夾選項"→"查看"對話框中,選擇"顯示所有的文件和文件夾"項,就可以看到所有隱藏屬性的文件夾和文件。有一個小技巧,可以有效的保護你的文件夾。這個技巧就是,用類標識符作為文件夾名的文件擴展名。例如我們想保護文件夾C:/mydata。
首先在注冊表項HKEY_CLASSES_ROOT中找到某個文件類型的CLSID,如MIDI文件的CLSID是{00022603-0000-0000-C000-000000000046}。將文件夾mydata的名稱加上{00022603-0000-0000-C000-000000000046}這個文件擴展名,即將C:/mydata的名稱修改為"C:/mydata.{00022603-0000-0000-C000-000000000046}"。這時C:/mydata的圖標就從文件夾的圖標變成了MIDI文件的圖標。
在資源管理器中雙擊該圖標,系統會報告該MIDI文件內容錯誤,無法播放(系統將文件夾當作MIDI文件處理了),因此用戶無法進入C:/mydata,也就無法查看該文件夾下的內容。這樣做的好處是,我們可以成功的將我們的私人文件夾偽裝成一個普通的MIDI文件。
惟一能夠查看文件夾內容的方法是:在DOS窗口中,使用CD命令進入到該文件夾。
你可能會說,用戶只要將該文件夾的文件擴展名去除,不就可以將保護的文件夾恢復出來了嗎?不用擔心,用戶做不到這一步。即使用戶在資源管理器的"工具"→"文件夾選項"→"查看"對話框中,去除對"隱藏已知文件類型的擴展名"選項的選擇,使所有的文件都顯示出擴展名。在資源管理器中,C:/mydata也不會出現擴展名。這樣,用戶就無法去除或者更改C:/mydata.{00022603-0000-0000-C000-000000000046}的CLSID部分。
如果想在資源管理器中正常地查看該文件夾里的內容,可以在DOS窗口中,將該文件夾重新改名為正確的名稱。
該方法結合下面的限制運行程序的方法(限制運行DOS窗口),可以很有效的保護你的文件夾。
2.限制用戶運行的程序(適用范圍:Windows 9x/Me/NT/2000/XP)
(1)禁止用戶通過"運行"來運行應用程序
通過"開始"菜單的"運行",用戶可以輸入命令來啟動某個程序。對于那些不是EXE為擴展名的程序,也可以直接運行。如果不希望用戶隨意執行程序,可以將"開始"菜單中的"運行"項去除。
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer中,新建一個雙字節值項NoRun,修改其值為1。
提示:除了"運行"外,可以在DOS窗口中手工輸入命令來啟動某個程序。
(2)禁止用戶運行命令解釋器和批處理文件(適用于Windows NT/2000/XP)
通過修改注冊表,可以禁止用戶使用命令解釋器(CMD.exe)和運行批處理文件(BAT文件)。
進入到注冊表項HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/中,新建一個雙字節值項DisableCMD,修改其值為2。則命令解釋器和批處理文件都不能夠被運行。如果只是禁止命令解釋器的運行,而運行批處理文件的運行,則修改DisableCMD的值為1。
(3)禁止運行指定的程序
為了安全性起見,我們可能希望有些帶有危險性的程序不讓用戶去運行。這可以通過注冊表來實現。例如我們想禁止用戶運行記事本(notepad.exe)和計算器(cal.Exe)。
首先在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer中,新建一個雙字節值項DisallowRun,修改其值為1,以允許我們定義禁止允許的程序,然后新建一個注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun,在其下新建兩個字符串值項。第一個值項的名稱為1,值為notepad.exe,第二個值項為2,值為calc.exe。如果想禁止更多的程序,可以依次建立名稱為3、4等順序往下排列的值項。修改注冊表后立即生效。這時想通過"開始"菜單運行記事本和計算器程序,系統會提示不能進行此操作。
注意:用戶在WindowsNT/2000/XP的命令解釋器(CMD.exe)窗口中,仍然可以通過輸入"notepad.exe"運行記事本。這是因為DisallowRun禁止的只是通過資源管理器Explorer運行的程序,記事本不是通過Explorer啟動的,所以就無法禁止了。如果不希望用戶可以通過命令解釋器運行程序,應該在DisallowRun中將命令解釋器(CMD.exe)禁止。另外,此方式還有一個不安全之處,就是如果用戶將記事本程序"notepad.exe"更改名稱,如改成"note.exe",用戶就可以運行它了。
(4)只允許運行指定的程序
為了限制用戶運行程序,我們可以指定用戶只能運行某些必須的程序。這種方式可以避免用戶運行自己攜帶來的程序,有效地防范病毒地傳播。這可以通過注冊表來實現。
首先在注冊表項HKEY_CURRENT_USER/Software/Microsoft /Windows/CurrentVersion/Policies/Explorer下新建一個雙字節值項RestrictRun ,修改其值為1,以允許我們指定可以運行的程序。
然后新建一個注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/RestrictRun,在其下新建兩個字符串值項。第一個值項的名稱為1,值為notepad.exe,第二個值項為2,值為calc.exe。如果想允許更多的程序,可以依次建立名稱為3、4等順序往下排列的值項。修改注冊表后立即生效。這時想通過"開始"菜單和資源管理器運行其他的程序,系統會提示不能進行此操作。
提示:如果你沒有允許注冊表編輯器運行,你會發現你將無法恢復此方法所做的修改,因為無法用注冊表編輯器來修改注冊表了。在這種情況下,你可以將注冊表編輯器程序的名稱改變為你允許運行的某個程序的名稱,這樣你就可以運行起來注冊表編輯器了。
注意:由于此方法的限制性非常大,所以請小心使用,尤其是避免沒有允許任何程序運行這種情況。如果出現了這種情況,你將無法將此方法做的設定改變回來,因為你無法修改注冊表。惟一的方法就是恢復修改前的注冊表備份
(5)禁止使用注冊表編輯器 注冊表是復雜和危險的,所以我們往往希望用戶不要嘗試著去修改注冊表。通過修改注冊表,我們可以禁止用戶運行系統提供的兩個注冊表編輯器,Regedit.exe和Regedt32.exe。
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/下新建一個雙字節值項DisableRegistryTools,修改其值為1。這樣,用戶就不能啟動注冊表編輯器了。
注意:使用此功能要小心,最好作個注冊表備份,或者準備一個其他的注冊表修改工具。因為你在禁止了注冊表編輯器后,就不能再使用該注冊表編輯器將值項改回了。
(6)禁止用戶更改口令(適用于Windows NT/200/XP)
用戶在"Windows安全窗口"中(同時按下Ctrl+Alt+delete鍵),可以單擊"更改密碼"來更改用戶口令。通過修改注冊表,可以禁止用戶更改口令。
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下新建一個雙字節值項DisableChangePassWord,修改其值為1。這樣,"Windows安全窗口"中的"更改密碼"按鈕變成了灰色不可選狀態,用戶無法更改口令。
(7)禁止用戶鎖定計算機(適用于Windows NT/2000/XP)
用戶在"Windows安全窗口"中,可以單擊"鎖定計算機"來鎖定計算機。通過修改注冊表,可以禁止用戶鎖定計算機。
在注冊表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System中新建一個雙字節值項DisableLockWorkstation,修改其值為1。這樣,"Windows安全窗口"中的"鎖定計算機"按鈕變成了灰色不可選狀態,用戶無法鎖定計算機。
(8)禁止用戶使用任務管理器(適用于Windows NT/2000/XP)
用戶可以使用"Windows任務管理器"(Taskmgr.exe)來啟動和結束本地進程、查看和管理其他計算機上的進程、改變進程的優先級。通過修改注冊表,可以禁止用戶使用任務管理器。
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/下新建一個雙字節值項DisableTaskMgr,修改其值為1。這樣,用戶就無法啟動任務管理器了。
3.限制用戶可以查看的資源(適用范圍:Windows 9x/Me/NT/2000/XP)
(1)隱藏指定的磁盤驅動器
如果我們不希望使用者查看某個驅動器的內容,可以在"我的電腦"和資源管理器中將該驅動器的圖標隱藏起來。
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer中新建一個雙字節值項NoDrives。
該值項共使用了從最低位(第0位)到第25位,共26個字位,分別代表驅動器A到驅動器Z。如果第0位為1,表示不顯示驅動器A的圖標,第3位為1,表示不顯示驅動器D的圖標,依此類推。例如我們想"我的電腦"中不顯示任何驅動器的圖標,可以修改"NoDrives"的值為"03ffffff"(第0位到31位全部為1)。修改后重啟桌面使改動生效。
修改后,不只是"我的電腦",還包括"網上鄰居"、資源管理器,任何標準的"打開"、"保存"文件的對話框,都不會出現指定驅動器的圖標。雖然這些驅動器的圖標不能出現,但是用戶仍然可以訪問這些驅動器。例如可以在資源管理器的地址欄中輸入驅動器號,或者在DOS窗口中使用命令查看隱藏了的驅動器。
(2)禁止用戶查看指定磁盤驅動器的內容
如果有一個驅動器中存放了重要的數據,我們不希望使用者查看該驅動器的內容,可以使用此方法來禁止查看該驅動器的內容。
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer中新建一個雙字節值項NoViewOnDrive。該值項共使用了從最低位(第0位)到第25位,共26個字位,分別代表驅動器A到驅動器Z。如果第0位為1,表示禁止使用驅動器A,第3位為1,表示禁止使用驅動器D,依此類推。例如我們想禁止用戶使用軟盤驅動器A和B,以及驅動器D,可以修改"NoViewOnDrive"的值為"0000000b"(第0、1、3位的值為1)。修改后需要重啟桌面使改動生效。
這時再進入到"我的電腦",雙擊驅動器D,系統會彈出一個消息框,告訴用戶不能進行此操作。不只是"我的電腦",還包括"網上鄰居"、資源管理器,任何標準的"打開"、"保存"文件的對話框,都不能對已經禁止的驅動器進行操作,雖然在"我的電腦"和資源管理器中,驅動器D的圖標仍然存在。
提示:該方法只是禁止用戶在"我的電腦"和資源管理器中訪問受限制的驅動器,應用程序仍然可以訪問被禁止的驅動器。
(3)登錄時不顯示上次使用者的用戶名(適用于Windows NT/2000/XP)
默認情況下,在用戶注冊登錄時,在用戶名欄中顯示著上次使用者的用戶名。通過修改注冊表,我們可以禁止系統顯示上次使用者的用戶名,以加強安全性。
在注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/ Microsoft/WindowsNT/CurrentVersion/Winlogon/中新建一個雙字節值項DontDisplayLastUserName,修改其值為1。重新啟動機器后,在用戶注冊畫面中,不會顯示上次使用者的用戶名。
4.限制用戶使用控制面板(適用范圍:Windows 9x/Me/NT/2000/XP)
控制面板提供給用戶一個直觀的界面來更改Windows的部分參數,使Windows的界面和功能更符合自己的需要。不恰當的使用控制面板,會帶來一些問題
(1)禁用整個控制面板
在注冊表項項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/中新建一個雙字節值項NoControlPanel。值為1表示禁止控制面板的使用,值為0或者值項不存在表示允許用戶使用控制面板。
重啟桌面使改動生效后,可以看到,"開始"菜單中"設置"中的"控制面板"項不見了,并且如圖試圖用別的方式訪問"控制面板"中的項目,例如在桌面上單擊鼠標右鍵來訪問"顯示",系統會彈出一個消息框,提示用戶不能進行此操作。
(2)去除"控制面板"中的指定項目(適用于Windows 2000/XP)
有時候我們想去除掉"控制面板"中的某些項目,以防止用戶使用它們來進行設置,但是又想允許用戶使用"控制面板"中的另外一些項目,這也是可以做到的。 在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/中新建一個雙字節值項DisallowCpl,并修改其值為1。然后新建一個注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowCpl,在該項下新建若干個字符串值項,形式為"序號=控制面板項對應的文件名"。例如想去除控制面板中的"顯示"和"系統"兩項,可以在該項下新建兩個值項"1"和"2",值分別為"desk.cpl"(顯示項對應的文件)和sysdm.cpl(系統項對應的文件)。重啟桌面使改動生效。這時再進入到"控制面板"中,可以看到,"顯示"項和"系統"項已經不見了。
(3)指定"控制面板"中顯示的項目(適用于Windows 2000/XP)
如果我們想去除掉"控制面板"中的大部分項目,只允許用戶使用幾個項目,則可以使用本方法。"控制面板"中只顯示用戶指定的項目,對于沒有指定的項目則不顯示。
在注冊表項HKEY_CURRENT_USER/Software/ Microsoft/Windows/CurrentVersion/Policies/Explore/中新建一個雙字節值項RestrictCpl,修改其值為1,然后新建一個注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explore/RestrictCpl,在該項下新建若干個字符串(REG_SZ)值項,形式為"序號=控制面板項對應的文件名"。例如只允許用戶使用控制面板中的"顯示"和"系統"兩項,可以在該項下新建兩個值項"1"和"2",值分別為"desk.cpl"(顯示項對應的文件)和sysdm.cpl(系統項對應的文件)。重啟桌面使改動生效。這時再進入到"控制面板"中,可以看到,整個控制面板中只有"顯示"項和"系統"項。
注意:使用去除控制面板中的指定項目和指定控制面板中顯示的項目都可以定制控制面板中項目的顯示,但是這兩個方法有可能發生沖突。如果發生沖突,則去除控制面板中的指定項目方法優先。 (4)去除"系統"中的"設備管理"標簽(適用于Windows 9x/Me)
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System中,新建一個雙字節的值項NoDevMgrPage,修改其值為1。這時再進入到"控制面板"中的"系統"項,可以看到"設備管理"標簽已經不見了。
(5)去除"系統"中的"硬件配置"標簽(適用于Windows 9x/Me)
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下,新建一個雙字節的值項NoConfigPage,修改其值為1。這時再進入到"控制面板"中的"系統"項,可以看到"硬件配置"標簽已經不見了。
(6)去除"系統"中的"性能"標簽里的"文件系統"按鈕(適用于Windows 9x/Me)
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下,新建一個雙字節的值項NoFileSysPage,修改其值為1。這時再進入到"控制面板"中的"性能"項,可以看到"性能"標簽中的"文件系統"按鈕已經不見了。
(7)去除"系統"中的"性能"標簽里的"虛擬內存"按鈕(適用于Windows 9x/Me)
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System下,新建一個雙字節的值項NoVirtMemPage,修改其值為1。這時再進入到"控制面板"中的"性能"項,可以看到"性能"標簽中的"虛擬內存"按鈕已經不見了。
(8)禁用"顯示"項
我們可以禁止使用"控制面板"中的顯示項。雖然"顯示"項仍然出現在"控制面板"中,但是用戶不能使用。在注冊表項HKEY_CURRENT_USER/ Software/Microsoft/Windows/CurrentVersion/Policies/System/中新建一個雙字節值項NoDispCPL,修改其值為1。這時進入"控制面板",雙擊"顯示"項,系統會出現一個消息框提示用戶不可以進行此操作。
(9)去除"顯示"項中的"背景"標簽
在注冊表項HKEY_ CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/system/中新建一個雙字節值項NoDispBackgr oundPage,修改其值為1。
(10)禁止"顯示"項里的"背景"標簽(適用于Windows 2000/XP)
在注冊表項HKEY_ CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/ActiveDesktop/中新建一個雙字節值項NoChangingWallPaper,修改其值為1。
(11)去除"顯示"項中的"屏幕保護程序"標簽
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/system/中新建一個雙字節值項NoDispScrSavPage,修改其值為1。
(12)決定屏幕保護程序是否使用密碼保護(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Policies/ Microsoft/Windows/Control Panel/Desktop/中新建一個雙字節值項ScreenSaverIsSecure,修改其值為1。
(13)去除"顯示"項中的"外觀"標簽
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/system/中新建一個雙字節值項NoDispAppearancePage,修改其值為1。
(14)去除"顯示"項中的"設置"標簽
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/system/中新建一個雙字節值項NoDispSettingsPage,修改其值為1。
(15)禁止刪除打印機
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Explorer/中新建一個雙字節值項NodeletePrinter,修改其值為1。
(16)去除"打印機"中的"添加打印機"項
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Explorer/中新建一個雙字節值項NoAddPrinter",修改其值為1。
(17)禁止"添加打印機向導"中的"瀏覽網絡打印機"項(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Policies/ Microsoft/Windows NT/Printers/Wizard/中新建一個雙字節值項Downlevel Browse,修改其值為1。
如果用戶想添加網絡打印機,只能輸入網絡打印機的URL。
(18)去除"添加/刪除"項(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Uninstall/中新建一個字符串值項NoAddRemovePrograms,修改其值為1。
(19)去除"添加/刪除"項中的"更改或刪除程序"項(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Uninstall/中新建一個雙字節值項NoRemovePage,修改其值為1。
(20)去除"添加/刪除"項中的"添加新程序"項(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Uninstall/中新建一個雙字節值項NoAddPage,修改其值為1。
(21)去除"添加/刪除"項中的"添加/刪除Windows組件"項(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Uninstall/中新建一個雙字節值項NoWindowsSetupPage,修改其值為1。
(22)去除"添加/刪除"項目中"添加新程序"中的"從光盤或軟盤添加程序"(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Uninstall/中新建一個雙字節值項NoAddFromCDor Floppy,修改其值為1。
(23)去除"添加/刪除"項目中"添加新程序"中的"從Microsoft添加程序"(適用于Windows 2000/XP)
在注冊表項HKEY_CURRENT_USER/Software/Microsoft/ Windows/Current Version/Policies/Uninstall/中新建一個雙字節值項NoAddFromInternet,修改其值為1。
5.防范黑客攻擊(適用范圍:Windows 9x/Me/NT/2000/XP)
注冊表中有些參數,設置合適的話可以防范一些黑客技術的攻擊。DoS(拒絕服務)攻擊是一種常見的黑客攻擊方式,其中SYN淹沒攻擊是DoS中比較常見的。我們在這里給出一個防范SYN攻擊的設置方法。
(1)減小等待SYN-ACK包的時間
TCP在發送SYN-ACK包后,首先等待3秒鐘,如果仍然沒有回應,則將時間加大一倍,從3秒增大到6秒,再重發一次SYN-ACK,然后繼續等待回應。重發的次數定義在注冊表中的一個雙字節值項TcpMaxConnectResponseRetransmissions里,該值項位于注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters中。默認值為3,表示重發次數為3次,先等待3秒后發送一次,然后等待6秒后發送一次,然后等待12秒發送一次,最后等待24秒,如果仍然接收不到回應,不再繼續發送SYN-ACK,而是清除此次連接,并釋放所有資源。這樣總共經過了45秒鐘。值為2表示重發次數為2次,總共的耗費時間為21秒,值為1表示重發次數為1次,總共的耗費時間為9秒。0表示不重發SYN-ACK,耗費時間為3秒。耗費時間越短,SYN攻擊造成的影響就相應的要小一些。此值項的默認值為3次。如果系統容易受到SYN淹沒攻擊,可以將此值項修改為2。(2)增大NetBT的連接塊增加幅度和最大數目
NetBT(基于TCP/IP的NetBIOS)使用139號TCP端口,一般用在微軟網絡中,例如文件和打印服務。在建立連接時,如果BetBT發現可用的連接塊數目小于2個,會自動的再分配可用連接塊。
NetBT每次增加的連接塊的數目定義在注冊表中的雙字節值項BacklogIncrement中,該值項位于注冊表項注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBt/Parameters下。默認值為3,最小值為1,最大值位20。增大此值可以在有眾多連接時提升性能。每個連接塊消耗87個字節。
NetBT最多可以使用的連接塊的數目定義在注冊表項中雙字節值項MaxConnBackLog中,默認為1000個,最大值可以取到40000個。可以適當的增大此參數的值以允許更多的同時連接。
(3)配置動態Bakclog(適用于Windows NT/2000/XP)
對于使用Sockets的Windows服務,如FTP,可以通過配置動態Backlog來提升在網絡繁忙時的性能。使用動態Bakclog,系統會預先分配一定的資源用于建立連接,這樣就省去了給連接分配資源的時間和CPU消耗。如果需要再增加資源,可以一次性的增加若干個連接所需的資源空間。
在注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters中新建下面的雙字節值項:
EnableDynamicBacklog,該值項的默認值為0,表示是否允許動態Backlog。默認值為0。對于網絡繁忙或者易遭受SYN攻擊的系統,建議設置為1,表示允許動態Backlog。
MinimumDynamicBacklog,該值項的默認值為0,表示動態Backlog分配的自由連接的最小數目。當自由連接數目低于此數目時,將自動的分配自由連接。默認值為0,對于網絡繁忙或者易遭受SYN攻擊的系統,建議設置為20。
MaximumDynamicBacklog,該值項的默認值為0,表示定義最大"準"連接的數目。"準"連接包括自由連接和半連接。對于網絡繁忙或者易遭受SYN攻擊的系統,應該設置此值,大小取決于內存的多少。一般來說,每32M內存最大可以增加5000個。
DynamicBacklogGrowthDelta,該值項的默認值為5,表示定義每次增加的自由連接數目。對于網絡繁忙或者易遭受SYN攻擊的系統,建議設置為10。
(4)啟用SYN淹沒攻擊保護特性(適用于Windows 2000/XP)
Windows 2000/XP針對SYN淹沒攻擊提供了一個叫做SYN淹沒攻擊保護的特性。當出現了SYN淹沒攻擊的征兆時,Windows 2000/XP自動降低對那些無法確認的連接請求的響應時間。
在注冊表項HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters中新建下面的雙字節值項:
SynAttackProtect,該值項的默認值為0,表示定義是否允許SYN淹沒攻擊保護特性。保證該值為1,表示允許啟用SYN淹沒攻擊保護特性。
TcpMaxConnectResponseRetransmissions,該值項的默認值為3,表示定義了對于連接請求回應包的重發次數。如果該值為1,則SYN淹沒攻擊不會有效果,但是這樣會造成連接請求失敗幾率的升高。SYN淹沒保護特性只有在該值大小大于或等于2時才會被啟用。該值的默認值為3。
以上兩個值項定義了是否允許SYN淹沒攻擊保護。下面三個值項則定義了激活SYN淹沒攻擊保護特性的條件。當滿足下面三個值項定義的條件之一時,系統會自動激活SYN淹沒攻擊保護。
TcpMaxHalfOpen,該值項的默認值為100或者500,表示定義了能夠處于SYN_RECEIVED狀態的TCP連接的數目。由于SYN淹沒攻擊通常會造成大量的SYN_RECEIVED狀態的TCP連接,因此保護特性將該值作為SYN淹沒攻擊發生的一個征兆。當處于SYN_RECEIVED狀態的TCP連接的數目超過該值項的定義時,系統認為SYN淹沒攻擊發生了,自動啟用保護特性。
對于Windows 2000 Server,該值項默認值為100。對于Windows 2000Professional,該值項默認值為500。Professional之所以比Server的值高,是因為Professional通常不用作服務器,也就不會受到SYN淹沒攻擊。
TcpMaxHalfOpenRetried,該值項的默認值為80或者40,表示定義了在重新發送連接請求后,仍然處于SYN_RECEIVED狀態的TCP連接的數目。當這種狀態的TCP連接的數目超過該值項的定義時,系統認為SYN淹沒攻擊發生了,自動啟用保護特性。
對于Windows 2000 Server,該值項默認值為80。對于Windows 2000 Professional,該值項默認值為400。
TcpMaxPortsExhausted,該值項的默認值為5,表示定義了系統拒絕連接請求的次數。當系統保留的連接端口都被使用掉時,系統將拒絕所有的連接請求。SYN淹沒攻擊通常會發生這種情況,因此保護特性將該值作為SYN淹沒攻擊發生的一個征兆。當被拒絕的連接請求的數目超過該值項的定義時,系統認為SYN淹沒攻擊發生了,自動啟用保護特性。
7.檢查Windows啟動時的程序(適用范圍:Windows 2000/XP)
在Windows環境下,由于病毒必須獲得CPU的控制權,因此很多病毒都需要在Windows啟動后,自動地運行起來。另一方面,越來越多的病毒采用了高級語言的形式,象宏病毒,采用的是VB語言,本身不能直接由CPU來執行,必須由相關程序解釋執行,因此它們必須在操作系統正常啟動后,才能加載自身,進行病毒傳播。因此說,很多病毒必須在Windows啟動后自動地運行起來,并且是依賴于Windows的自動啟動程序的功能。這是這些病毒的一個特點,也是一大弱點。我們可以根據這個特點,分析Windows啟動時有那些程序自動運行,通過檢查這些程序來防范病毒的侵襲。
(1)注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
該項下存放了Windows NT/2000/XP的服務程序。下面的每一個子項對應于一個服務:
ImagePath值項存放了該服務的程序文件路徑。這些服務都有一個Start值項。值為0,表示由核心裝載器裝載;值為1,表示由I/O子系統裝載。Start值為0和1的,都是非常低級和關鍵的Windows服務,它們必須正常啟動,WindowsNT/2000/XP才能繼續啟動。通常病毒不會將自己放在這里面,因為這時候WindowsNT/2000/XP只裝載了核心部分,只有最基本的功能。Start值為2,表示自動啟動,值為3,表示手工啟動,值為4,表示禁止啟動。這三類服務,可以在"控制面板"→"管理工具"→"服務"中查看到。
我們需要檢查的是,那些Start值為2的服務,其對應的程序文件(ImagePath值項定義)是否可疑。
(2)注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ Control/session Manager
該項下存放了會話管理器(Smss.exe)的信息。在WindowsNT/2000/XP的內核啟動階段,需要啟動該項下定義的幾個程序。在REG_MULTI_SZ類型的值項BootExecute中,定義了會話管理器裝載服務前需要運行的程序。默認值為AutoCheck autochk*和Dfsinit。該默認值表示運行磁盤檢查程序,以及啟動DFS文件系統的初始化程序。
我們需要檢查的是,值項BootExecute存放的是否是默認的執行文件,是否還定義了其他的執行程序。
(3)注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/Userinit
該值項類型為字符串值,定義了用戶注冊進入時執行的初始化程序。在用戶注冊時,注冊管理程序(Winlogon)啟動該初始化程序,默認值是Userinit.exe。該程序首先運行注冊腳本,建立網絡連接,然后啟動用戶界面程序(Explorer.exe)。用戶可以替換該初始化程序為自己的初始化程序(當然,病毒也可以做到)。一般地,用戶自己的初始化程序可以在處理完自己需要進行的工作后,再調用Userinit.exe程序即可。
我們需要檢查的是,Userinit值項的值是否是Userinit.exe。同時檢查/Winnt/System32下的Userinit.exe文件的大小和時間是否是正常的。
(4)注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/Shell
該值項類型為字符串值,定義了用戶界面程序,默認值為Explorer.exe。正常情況下,注冊管理程序(Winlogon)啟動Userinit定義的初始化程序,該初始化程序會啟動用戶界面程序,因此不需要運行Shell值項定義的程序。如果注冊管理程序沒有能成功啟動Userinit定義的初始化程序,則注冊管理程序會過來啟動該Shell值項定義的用戶界面程序。
我們需要檢查的是, Shell值項的值是否是Explorer.exe。
(5)注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon/System(適用于Windows NT)
該值項類型為字符串值,該值項中存放了安全管理器程序,默認值為Lsass.exe。安全管理器就是Windows NT啟動時,或者屏幕保護后,要求輸入用戶和密碼的畫面。用戶可以替換該安全管理器程序。
我們需要檢查的是System值項的值是否是Lsass.exe。
(6)注冊表項HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/ CurrentVersion/Policies/Explorer/Run
在該項下可以有若干個字符串類型的值項,每個值項的名稱從1開始,值為程序或者文檔的名稱。在用戶注冊進入Windows時,該項下定義的程序將被啟動起來。例如該項下有兩個值項,第一個是1,值為Notepad.exe,第二個是2,值為C:/readme.doc,則在用戶注冊進入Windows 2000時,系統會首先運行起Notepad.exe程序,然后會使用DOC的關聯程序打開C:/readme.doc文檔。
我們需要檢查的是,如果定義了自動啟動程序,則查找該程序是哪個軟件對應的,是否為可疑程序。默認情況下,該注冊表項下應該為空。
(7)注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ Policies/Explorer/Run
該項與HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run的作用一樣,不同之處在于,由于它位于HKEY_LOCAL_MACHINE下,所以它將應用于所有的用戶。在啟動順序上,系統首先啟動HKEY_LOCAL_MACHINE下的Run中的程序,再去啟動HKEY_CURRENT_USER下Run中的程序。
(8)注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(適用于Windows9x/Me/NT/2000/XP)
由于是位于HKEY_CURRENT_USER下,因此該項只適用于當前這個用戶,不適用于其他的用戶。在用戶注冊進入Windows系統時,自動地運行該項下定義的程序或文檔。其中Run子項中定義了每次系統啟動時都需要運行的程序,值項類型是字符串值,值項的名稱是該運行程序的說明,值項的值是程序的名稱;RunOnce子項中定義了只運行一次的程序,在該項下的值項中定義的程序運行起來后,該項下的值項就會被刪除掉,這通常用于程序的安裝過程;RunEx和RunOnceEx的作用和Run、RunOnce是一樣的,是Run、RunOnce的擴充形式。
(9)注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(適用于Windows9x/Me/NT/2000/XP)
該項和HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion下的Run、RunOnce、RunEx和RunOnceEx作用一樣,不同之處在于,由于它位于HKEY_LOCAL_MACHINE下,所以它將應用于所有的用戶。在啟動順序上,系統首先啟動HKEY_LOCAL_MACHINE下定義的啟動項目,再去啟動HKEY_CURRENT_USER下定義的啟動項目。
我們需要檢查的是,對于默認情況以外定義的程序,需要檢查其對應的軟件。很多軟件將自動啟動程序放在注冊表中的這個位置。例如NortonAntivirus防毒軟件,就會在注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下新建一個值項NPS Event Checker,值為C:/PROGRA~1/Navnt/npscheck.exe。
下表中列出了默認情況下,Windows系統中Run下的自動運行項目。
(10)檢查非注冊表部分
首先檢查啟動文件和磁盤引導扇區。對于Windows9x/Me,啟動文件是啟動盤目錄下的IO.sys和Command.com文件。同時,還包括Autoexec.bat文件中定義的程序文件,以及Config.sys文件中裝載的程序文件。對于WindowsNT/2000/XP,啟動文件是啟動盤目錄下的Ntldr,Ntdetect.com、Ntbootdd.sys(如果boot.ini文件使用SCSI語法)、Bootsect.dos(如果使用了多重啟動,對應于啟動到DOS環境),以及Winnt目錄下的Ntoskrnl.exe(核心程序文件)和Hal.dll(硬件抽象層)。
其次,對于Windows 9x,還需要檢查Win.ini文件和System.ini文件。Win.ini文件中的"run="和"load="行,定義了Windows 9x啟動時需要裝載的程序。
最后,需要檢查"開始"菜單中"程序"中的"啟動"程序組,"啟動"程序組中存放了Windows正常啟動起來后,需要啟動的程序。
8.禁止舊版本的"自動運行"程序列表(適用范圍:Windows 2000/XP)
注冊表項HKEY_LOCAL_MACHINE_/Software/Microsoft/Windows/CurrentVersion/Run和HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce下存放的是"自動運行"的程序列表,它們是舊版本的"自動運行"程序列表,在Windows95/98/NT中就已經有了。在注冊表中有兩個值項,可以禁止這兩個舊版本列表起作用,替代它們的是RunEx和RunOnceEx注冊表項。
這兩個值項位于注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer下。
9.禁止遠程訪問光盤和軟盤(適用范圍:Windows NT/2000/XP)
在C2級別的安全要求中,必須對可移動介質的安全作保護,它要求當本地用戶在使用計算機時,光盤和軟盤稱為本地用戶的專有資源,網絡上的其他用戶,包括系統管理員,都不能夠訪問光盤和軟盤。這是因為此時使用的可移動介質,通常是本地用戶私人的,因此不應該給其他人看到。下表的值項存放在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon中。
10.設定口令的最小長度(適用范圍:Windows 9x/Me/NT/2000/XP)
默認情況下,口令可以設置為空。為了加強安全性,我們可以強行指定口令的最小長度。
在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Network下,創建二進制類型的值項MinPwdLen,并修改其值為口令的長度,例如6。這樣,用戶在設定口令時,最少要設定6位的長度。
四、提升Windows系統性能
通過注冊表,我們可以定制Windows的功能,使之更加符合我們的習慣和需求。
1.定制Windows的登錄(適用范圍:Windows 9x/Me/NT/2000/XP)
(1)開機后自動登錄
為了使用Windows NT/2000/XP,我們必須輸入一個用戶名稱和用戶口令來登錄。在Windows 9x/Me中,如果登錄方式設置為"Microsoft網絡登錄",在進入Windows時,也需要輸入用戶名和口令,否則將不能訪問網上鄰居中的計算機。
為了方便起見,我們可以將用戶名和用戶密碼存放到注冊表中,這樣Windows啟動時,自動使用注冊表中的用戶名和用戶密碼來登錄,而不用用戶手工輸入。
對于WindowsNT/2000/XP,在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon下新建值項。對于Windows9x/Me,在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon下新建值項。下表中詳細列出新建的值項。
(2)在登錄前顯示自定義的信息
我們可以在Windows啟動之前顯示一些信息,以給用戶一些提示或是警告。
對于WindowsNT/2000/XP,在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon下新建值項。對于Windows9x/Me,在注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon下新建值項。下表中詳細列出新建的值項。
(3)必須使用有效用戶注冊(適用于Windows 98)
在Windows 98中,當出現輸入用戶名稱和密碼的畫面時,可以單擊"取消"按鈕,或者按下ESC鍵,跳過這一步直接進入到Windows中。通過修改注冊表,可以禁止這種未授權的使用,而要求只有在Windows98中設置的用戶才可以進入。
在注冊表項HKEY_LOCAL_MACHINE/Network/Logon下,新建一個雙字節字值項MustBeValidated,修改其值為1。這樣,在下次啟動時,必須輸入有效的用戶名和用戶密碼才可以進入到Windows 98中。
注意:在Windows 98 SE中,該修改方式不適用。如果設置了該選項,Windows 98 SE將從域服務器上去驗證該用戶,因為找不到域服務器,因此無法正常登錄到Windows 98 SE中。
(4)啟動時不要求輸入口令(適用于Windows 9x/Me)
Windows 9x/Me啟動時往往要求輸入用戶名和口令。如果只是自己使用,雖然可以按ESC鍵或者"取消"按鈕跳過這一步,但還是挺麻煩。
在作此修改前請首先將網絡登錄方式改為Windows登錄:進入控制面板中的網絡項,將"主網絡登錄"方式改為Windows登錄。
然后將默認用戶的密碼改為空。將用戶的密碼設置為空可以采用如下方法:
方法1:通過修改注冊表來更換用戶名
在Windows9x/Me中,上次使用者的用戶名存放在注冊表的HKEY_LOCAL_MACHINE/Network/Logon下,名稱Username。我們可以將這個用戶名修改為一個新的用戶名。重新啟動后,Windows會認為該用戶是新的用戶,要求輸入用戶口令。不要輸入口令,直接按"確定"按鈕。這樣,在下次啟動時,就不會要求輸入用戶名和口令。
方法2:刪除口令文件
進入到C:/windows目錄下。找到該用戶的口令文件。如用戶名稱為lijin,則口令文件為lijin.pwl。刪除該文件。重新啟動Windows 9x,Windows9x會認為該用戶是新的用戶,要求輸入用戶口令。不要輸入口令,直接按"確定"按鈕。這樣,在下次啟動時,就不會要求輸入用戶名和口令。
方法3:注冊新用戶
首先"開始"菜單中選擇"注銷",在出現的注冊畫面中,使用新的用戶名,并且不輸入口令,直接按"確定"按鈕。Windows會自動生成該用戶的信息。在下次啟動時,系統會使用新的用戶注冊進入Windows。
方法4:修改注冊表禁止使用口令文件
注冊表中的一個值項控制著是否使用口令文件(PWL文件)。如果禁止使用口令文件,則Windows啟動時不會要求輸入口令。在注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Network下,新建一個雙字節值項DisablePwdCaching,修改其值為1。重新啟動Windows后,Windows將不會生成和使用口令文件。即使用戶設了口令,在Windows啟動時,也不會要求輸入用戶口令。
提示:如果在注冊表中修改了此項,禁止了口令文件,并且登錄方式選擇的是"Microsoft網絡用戶"或者"Netware網絡用戶",在Windows9x/Me啟動時,仍然會出現要求輸入用戶口令的畫面,不過即使輸入的用戶口令不對,也可以進入Windows,只是不能注冊到"Microsoft網絡"或"Netware網絡"上。
方法5:強迫Windows啟動時不進行登錄默認情況下,只要安裝了網絡項,或者Windows口令非空,Windows啟動時會出現登錄注冊的畫面,要求用戶進行注冊進入系統。在注冊表中有一個值項控制著系統啟動時是否進行登錄。在注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/Real Mode Net下,新建一個雙字節值項autologon。修改其值為0。
提示:此方法對于Microsoft網絡用戶登錄、Netware網絡登錄和Windows登錄三種登錄方式都適用。
2.加快撥號上網的速度(適用于Windows 9x)
(1)去除不需要的協議和服務
選定一個撥號連接,單擊右鍵,可以看該撥號連接的屬性。通常通過撥號網絡建立一個連接后,該連接綁定了NetBEUI和IPX/SPX兼容協議,并且聯系著微軟網絡,如果該撥號連接只是為了上因特網,則可以將這些不必要的協議和服務去掉,只保留TCP/IP協議,以加快登錄速度和傳輸速度。
(2)增大串口緩沖和通信速度
在Windows目錄下找到System.ini文件并編輯它,在其[386Enh]這一行下面加入"COM2Buffer=1024"行。如果調制解調器不是安裝在串口2,而是安裝在串口1,則改為"Com1Buffer=1024"即可。
在Windows目錄下找到Win.ini文件并編輯它,在其[ports]部分找到"COM2:=9600,n,8,1,x"行,修改為"COM2:=38400,n,8,1,x"。如果調制解調器不是安裝在串口2,而是安裝在串口1,則修改"COM1:=9600,n,8,1,x"行為"COM1:=38400,n,8,1,x"。
(3)增大接收緩沖區
設置調制解調器的屬性,將其接收緩沖區調到最大。
(4)增大系統的文件名和路徑的緩沖
在注冊表項HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/FSTemplates/Desktop下,新建兩個雙字節值項。一個是NameCache,定義了存放訪問過的文件名的緩沖,建議從32修改為128。一個是PathCache,定義了存放訪問過的文件的路徑的緩沖,建議從677修改為4096。
(5)調整撥號網絡適配器的TCP/IP參數
首先進入到注冊表項HKEY_LOCAL_MACHINE/Enum/Root/Net下。在該項下有形式為00xx的子項。進入到各個00xx子項下,查找值項DeviceDesc是否為"撥號網絡適配器"。如果是,在該子項下還有一個Binding子項,進入該子項,記下該子項下的MSTCP/00xx的值。
按照上一步找到的MSTCP/00xx值,進入到注冊表項HKEY_LOCAL_MACHINE/Enum/Network/MSTCP/00xx下。記下其下值項Driver的值,形式為NetTrans/00xx。
按照上一步找到的NetTrans/00xx的值,進入到注冊表項HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Class/NetTrans/00xx下。修改REG_SZ值項MaxMTU的值從1500到576,因為1500是針對局域網的,而576是Internet上的標準。修改REG_SZ值項MaxMSS的值為536。
(6)調整TCP/IP協議的參數
修改下列值項的值(字符串值)。這些值項位于注冊表項HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/VxD/MSTCP下:
DefaultRcvWindow,其默認值為8129,該值為接收緩沖區的大小,一般等于Modem的傳輸速度。可以按如下算法計算.假設Modem速度為28.8K,則傳輸率為(不考慮數據壓縮)28800/9=3200。考慮到DefaultRcvWindow應該是MSS(一般值為536)的整數倍,則應該取值為2680。不考慮Modem的數據壓縮,14.4K、28.8K、36.6K和56K應該分別對應于1072、2680、3752、5896。如果考慮到Modem的數據壓縮功能,可以再加大20%~50%,但注意,仍然應該為MSS的整數倍。如果Modem速度快,因特網接入線路質量好,可以再適當的加大該值。默認值為8192。
DefaultTTL,其默認值為32,該值為數據包可以在因特網上存活的時間。加大該值,有利于在繁忙的網絡中保持連接。默認值為32,建議修改為255。
NameSrvQueryTimeout,其默認值為750,該值為域名服務器查詢的超時時間。加大該值,有利于連接的建立。默認值為750毫秒。建議修改為3000毫秒。
3.定制驅動器的自動播放功能(適用范圍:Windows 9x/Me/NT/2000/XP)
Windows提供了自動播放功能。最常見的就是光盤驅動器的自動播放功能。當我們將一張CD光盤放進光盤驅動器中,CD播放器就會自動運行起來,并開始播放該CD。或者在光盤驅動器中放入一張數據盤,如果該光盤的根目錄下有一個Autorun.inf文件,這個Autorun.inf文件中定義的程序也會自動地運行起來。
(1)禁止光盤驅動器的自動播放功能
在注冊表項HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Cdrom/下有一個雙字節值項AutoRun,修改其值為0,重啟計算機。
(2)定制各個驅動器的自動播放
我們可以定制各個驅動器的自動播放。例如允許驅動器E的自動播放功能,而禁止其他驅動器的自動播放功能。
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer下。如果想讓此修改應用到所有的用戶,則應該進入到注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Policies/Explorer下。在該項下新建一個雙字節值項NoDriveAutoRun。
該值項的低26位分別代表從A到Z共26個驅動器的自動播放功能。如果該位為1,表示該位對應的驅動器的自動播放功能被禁止,如果該位為0,則該位對應的驅動器的自動播放功能被允許。例如我們只想禁止驅動器C和D的自動播放功能,對于其他驅動器的自動播放功能則想保留,那么我們需要修改NoDriveAutoRun的值為0x0000000c。修改后需要重新啟動計算機。
(3)按驅動器的類型進行定制
除了按照驅動器盤符來定制外,我們可以按照驅動器的類型來定制各個驅動器的自動播放。
進入到注冊表項HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer下。如果想讓此修改應用到所有的用戶,則應該進入到注冊表項HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Policies/Explorer下。在該項下新建一個雙字節值項NoDriveTypeAutoRun。該值項只使用了最低位的字節。
這些位為0時,表示允許該種類的驅動器的自動運行特性,為1時,表示禁止該種類驅動器的自動運行特性。默認值為0x95,即第0,2,4,7位為1,表示軟盤,網絡盤,未知類型盤的自動運行特性被禁止。修改后需要重新啟動機器使改動生效。
新聞熱點
疑難解答
