综合应用实训（五）——Windows攻防实验

通过实验掌握Windows账户与密码的安全设置、文件系统的保护和加密、建立一个Windows操作系统的基本安全框架。理解注册表的功能，学会简单地修改注册表以达到隐藏磁盘等操作。并能在理解的基础上修复被恶意篡改的注册表。

1、    windows密码攻防

2、    windows外观攻防

3、    windows安全列表攻防

4、    学会简单地修改注册表以达到隐藏磁盘等操作。

 

1．删除不再使用的账户，禁用guest账户

⑴ 检查和删除不必要的账户

右键单击“开始”按钮，、打开“资源管理器”，选择“控制面板”中的“用户和密码”项；

在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。

⑵ 禁用guest账户

为了便于观察实验结果，确保实验用机在实验前可以使用guest账户登陆。

打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击guest账户，在弹出的对话框中选择“属性”，在弹出的对话框中“帐户已停用”一栏前打勾。

确定后，观察guest前的图标变化，并再次试用guest用户登陆，记录显示的信息。

２．启用账户策略

⑴ 设置密码策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据你选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。

⑵ 设置账户锁定策略

打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。

在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如3次），以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。

在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如20 min）。

重启计算机，进行无效的登陆（如密码错误），当次数超过3次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。

３．开机时设置为“不自动显示上次登陆账户”

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。

４．禁止枚举账户名

右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”， 并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。

此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。

⑴ 打开采用NTFS格式的磁盘，选择一个需要设置用户权限的文件夹。这里选择E盘下的“桌面”文件夹。

⑵ 右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。

⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，以去掉来自父系文件夹的继承权限（如不去掉则无法删除可对父系文件夹操作用户组的操作权限）。

⑷ 选中列表中的Everyone组，单击“删除”按钮，删除Everyone组的操作权限，由于新建的用户往往都归属于Everyone组，而Everyone组在缺省情况下对所有系统驱动器都有完全控制权，删除Everyone组的操作权限可以对新建用户的权限进行限制，原则上只保留允许访问此文件夹的用户和用户组。

⑸ 选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。

⑹ 单击“高级”按钮，在弹出的窗口中，查看各用户组的权限。

⑺ 注销计算机，用不同的用户登陆，查看E盘“桌面”文件夹的访问权限，将结果记录在实验报告中。

注册表（Registry）是微软公司从Windows95系统开始，引入用于代替原先Win32系统里.ini文件，它是管理配置系统运行参数的一个全新的核心数据库。在这个数据库里整合集成了全部系统和应用程序的初始化信息；其中包含了硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至有关系到计算机安全的网络享设置。

Regedit.exe是微软提供的一个用于编辑注册表的工具，它为所有Windows系统自带，因此可以说是最通用的注册表编辑工具。由于Windows系统没有提供运行这个应用程序的菜单项，因此必须手动启动它，启动方法如下：

在【开始】菜单中选择【运行】命令，在【运行】对话框中的【打开】文本框中输入“regedit”，然后单击【确定】按钮，打开【注册表编辑器】窗口，如、图 2所示。

图 1 输入命令

 

图 2 【注册表编辑器】窗口

【注册表编辑器】窗口由“根键”区和“键值”区两部分组成。根键区主要用来显示注册表中的根键，注册表有五大根键，都以字母的大写形式显示，并且都以HKEY开头；键值区用来显示某个选项所设置的值。下面列出的五大根键的名称与作用。

o        HKEY_USERS 该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在HKEY_USERS根键中。

o        HKEY_CURRENT_USER 该根键包含了本地工作站中存放的当前登陆用户的信息，包括用户登陆名和暂时存放的口令。

o        HKEY_CURRENT_CONFIG 该根键存放着当前用户桌面配置的数据、最后使用的文档列表和其他有关当前用户的Windows版本的安装信息等。

o        HKEY_CLASSES_ROOT 该根键根据Windows操作系统中所安装的应用程序的扩展名，来指定文件类型。

o        HKEY_LOCAL_MACHINE 该根键存放本地计算机的硬件信息。

提示：用户登录Windows操作系统时，其信息从HKEY_USERS中相应的项复制到HKEY_CURRENT_USER中，HKEY_LOCAL_MACHINE\SOFTWARE\Class就是HKEY_CLASSES_ROOT,为了便于用户察看和编辑，系统专门把它作为一个单独的根键。

在默认状态下任务栏最右边显示的时间格式为：H: mm。

提示：其中H代表小时，mm代表分钟，将鼠标指针放到任务栏最右边稍作停顿，将显示出当前的日期。

在注册表编辑器中，用户可以在显示的日期和时间上添加自己的信息，例如，用户可以在时间的显示前加上“北京时间”等字样，在日期的显示前加上“我的地盘”等字样。

首先，打开【注册表编辑器】窗口，选择HKEY_CURRENT_USER/Control Panel/International注册表项。

然后，在右侧窗口中，双击 sLongDate，打开【编辑字符串】对话框，在【数值数据】文本框中输入“我的地盘：yyyy’年’m’月’d’日’”,单击【确定】按钮，如图 3所示。

图 3 修改日期显示

再在右侧窗口中，双击sTimeFormat，打开【编辑字符串】对话框，在【数值数据】文本框中输入“北京时间：H:mm:ss”,单击【确定】按钮，如图 4所示。

最后，重新启动计算机即可应用摄制。重新启动计算机后，可以在任务栏最右边看到这样的情况北京时间：8：23，它在时间前加上了文字，当把鼠标指针长时间放在此处的时候又会出现这样的情况我的地盘：2006年7月26日。

图 4 修改时间显示

隐藏【回收站】图表的目的，主要是禁止它在桌面和资源管理器中显示，而并不是禁止使用【回收站】功能。操作步骤是打开【注册表编辑器】，找到 HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace注册表项，将{645FF040-5081-101B-9F08-00AA002F94E}键值删除，即可完成【回收站】图标的隐藏，如图 5所示。

图 5 隐藏【回收站】图标

能不能修改在启动Windows XP操作系统时的画面呢？答案是肯定的。在注册表编辑器中，找到HKEY_USERS\.DEFAULT\Control Panel\Desktop注册表项，在右侧窗口双击wallpaper，在弹出的对话框中输入用户选择好的图片的路径，如d:\picture\web\mypic.bmp，单击【确定】按钮，然后找到Titlewallpaper键值名，双击它输入键值1，重新启动计算机即可看到效果。

在安装Windows XP时，用户需要讲个人和单位的信息作为系统注册信息输入到计算机中。使用注册表编辑器，可以更改这些系统注册信息，具体操作步骤如下。

首先，打开注册表编辑器，在打开的【注册表编辑器】窗口选择 HKEY_LOCAL_MACHINE/注册表项。

然后，在其右侧的窗口中双击RegisteredOwner，打开【编辑字符串】对话框，在【数值数据】文本框中输入要更改的单位信息，单击【确定】按钮即可。

最后，在右侧窗口中双击RegisteredOrganization，在打开的【编辑字符串】对话框中的【数值数据】文本框中输入要更改的单位信息，单击【确定】按钮即可。如图 6所示为更改系统注册信息后【系统特性】对话框中的【常规】选项卡下的注册信息。

图 6 修改注册表后的显示注册信息

警告:除了本实验中讲解的对注册表的操作项外，除非注册表备份，否则千万不要对注册表未知项进行修改，一旦误删或修改了某关键项的键值，操作系统会出现未知错误，给用户的使用带来困难。

可利用注册表编辑器将制定的驱动器图标从【我的计算机】窗口中删除，将其隐藏起来，以达到防止他人访问指定驱动器的目的。其具体操作步骤如下。

图 7隐藏D盘设置

首先，打开【注册表编辑器】窗口，在打开的【注册表编辑器】窗口中选择HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer注册表项。

然后，在Explorer注册表项中创建一个DWORD值，命名为NoDrives。

接着，双击该值项在弹出的【编辑DWORD值】对话框中输入树枝，例如，隐藏驱动器D，则输入8，然后在【基数】选项区域中选中【十六进制】单选按钮。

图 8隐藏了D盘的【我的电脑】窗口

这种方法只是用于隐藏，让用户在表面上看不到D盘。而在地址栏中输入“D:\”时用户还是可以访问他的，如图 9所示。

图 9利用地址栏访问D盘

修复被篡改的注册表，让注册表编辑器能重新为用户使用。通过修复被篡改的注册表，大家可以了解网络上一些不良代码能对用户的计算机造成损害，因此大家应养成良好的网上浏览习惯。

在网上浏览的时候，会遇到不良网站，这些网站能篡改一些IE选项时用户无法使用，例如，它能改变默认首页，使用户无法修改，有时候连注册表也被它锁定。这时候用户打不开注册表编辑器，也无法对其进行操作。

对这一问题可以采用以下步骤来解决。

首先，代开记事本，输入以下内容。

WindowsRegistryEditorVerdion5.00

[HKEY_CURRENT_USER\SoftWare/Microsoft/Windows/CurrentVersion\Policies]

“disableregistrytools”=dword:00000000

然后，选择【文件】|【另存为】命令把它保存成*.reg文件。双击此文件弹出【注册表编辑器】提示对话框，提示“是否确认要将C:Pocuments cmd setting\Administan\单面\abc.reg中的信息添加进注册表？”，单击【是】按钮添加到注册表中，这样用户就能打开注册表了，如图 10所示。

图 10添加信息到注册表

提示：网络上有很多不良信息，它们也同样危害着用户的计算机，只用养成良好的上网习惯才能从根本上防范。

 

众所周知，操作系统的注册表是一个藏龙卧虎的地方，所有系统设置都可以在注册表中找到踪影，所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。　　然而，正因为注册表的强大使得它也成为了一个藏污纳垢的地方。病毒和木马常常寄生在此，偷偷摸摸地干着罪恶勾当，威胁着原本健康的操作系统。如何才能有效地防范病毒和木马的侵袭，保证系统的正常运行呢?今天笔者将从服务、默认设置、权限分配等九个方面入手为大家介绍如何通过注册表打造一个安全的系统。

特别提示:在进行修改之前，一定要备份原有注册表。

安全隐患:在Windows 2000/XP系统中，默认Messenger服务处于启动状态，不怀好意者可通过“net send”指令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息，严重影响正常使用。

解决方法:首先打开注册表编辑器。对于系统服务来说，我们可以通过注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项下的各个选项来进行管理，其中的每个子键就是系统中对应的“服务”，如“Messenger”服务对应的子键是“Messenger”。我们只要找到Messenger项下的START键值，将该值修改为4即可。这样该服务就会被禁用，用户就再也不会受到“信”骚扰了。

安全隐患:如果黑客连接到了我们的计算机，而且计算机启用了远程注册表服务(Remote Registry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。

解决方法:我们可将远程注册表服务(Remote Registry)的启动方式设置为禁用。不过，黑客在入侵我们的计算机后，仍然可以通过简单的操作将该服务从“禁用”转换为“自动启动”。因此我们有必要将该服务删除。

找到注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”下的RemoteRegistry项，右键点击该项选择“删除”，将该项删除后就无法启动该服务了。

在删除之前，一定要将该项信息导出并保存。想使用该服务时，只要将已保存的注册表文件导入即可。

安全隐患:大家都知道在Windows 2000/XP/2003中，系统默认开启了一些“共享”，它们是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

解决方法:要防范IPC$攻击应该将注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的RestrictAnonymous项设置为“1”，这样就可以禁止IPC$的连接。

对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。如果系统为Windows 2000 Server或Windows 2003，则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”，值为“0”)。如果系统为Windows 2000 PRO，则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”，值为“0”)。

安全隐患:在Windows系统运行出错的时候，系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。

解决方法:找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\Windows NT CurrentVersion\AeDebug”，将AUTO键值设置为0，现在DR.WATSON就不会记录系统运行时的出错信息了。同时，依次点击“Documents and Settings→ALL Users→Documents→drwatson”，找到user.dmp和drwtsn32.log文件并删除。删除这两个文件的目的是将DR.WATSON以前保存的隐私信息删除。

提示:如果已经禁止了DR.WATSON程序的运行，则不会找到“drwatson”文件夹以及user.dmp和drwtsn32.log这两个文件。

安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveX控件的方法来私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们应该阻止ActiveX控件私自运行程序。

解决方法:ActiveX控件是通过调用Windows scripting host组件的方式运行程序的，所以我们可以先删除“system32”目录下的wshom.ocx文件，这样ActiveX控件就不能调用Windows scripting host了。然后，在注册表中找到“HKEY_LOCAL_MACHINE\SOFTWARE \ClassesCLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}”，将该项删除。通过以上操作，ActiveX控件就再也无法私自调用脚本程序了。

安全隐患:Windows 2000的页面交换文件也和上文提到的DR.WATSON程序一样经常成为黑客攻击的对象，因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息，而硬盘中的信息则极易被获取。

解决方法:找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlSession \ManagerMemory\Management”，将其下的ClearPageFileAtShutdown项目的值设置为1(图2)。这样，每当重新启动后，系统都会将页面文件删除，从而有效防止信息外泄。

安全隐患:使用Windows系统冲浪时，常会遇到密码信息被系统自动记录的情况，以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。

解决方法:在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionpolicies”分支中找到network子项(如果没有可自行添加)，在该子项下建立一个新的双字节值，名称为disablepasswordcaching，并将该值设置为1。重新启动计算机后，操作系统就不会自作聪明地记录密码了。

安全隐患:现在的病毒很聪明，不像以前只会通过注册表的RUN值或MSCONFIG中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢?

解决方法:运行“regedt32”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支，接着点击菜单栏中的“安全→权限”，在弹出的Services权限设置窗口中单击“添加”按钮，将Everyone账号导入进来，然后选中“Everyone”账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消(图3)。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。

安全隐患:很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

解决方法:运行“regedt32”指令启动注册表编辑器。找到注册表中的“HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN”分支，将Everyone对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

病毒和木马是不断“发展”的，我们也要不断学习新的防护知识，才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀，不如提前做好防御工作，修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情，“防患于未然”才是我们应该追求的。