注冊(cè)表是Windows操作系統(tǒng)的核心。它實(shí)質(zhì)上是一個(gè)龐大的數(shù)據(jù)庫，存放有計(jì)算機(jī)硬件和全部配置信息、系統(tǒng)和應(yīng)用軟件的初始化信息、應(yīng)用軟件和文檔文件的關(guān)聯(lián)關(guān)系、硬件設(shè)備說明以及各種網(wǎng)絡(luò)狀態(tài)信息和數(shù)據(jù)?？梢哉f計(jì)算機(jī)上所有針對(duì)硬件、軟件、網(wǎng)絡(luò)的操作都是源于注冊(cè)表的。

本文詳細(xì)羅列出各種注冊(cè)表的修改實(shí)例，并明確標(biāo)注其適應(yīng)的范圍，以利于讀者速查。，今天我們講下半部份）。

三、加強(qiáng)Windows系統(tǒng)安全

在目前這個(gè)病毒泛濫，'黑客橫行'的網(wǎng)絡(luò)時(shí)代，我們必須有備無患，加強(qiáng)計(jì)算機(jī)系統(tǒng)的安全。而注冊(cè)表作為Windows操作系統(tǒng)的核心部分，往往成為病毒和黑客利用的工具。如果使用者缺乏注冊(cè)表的相關(guān)知識(shí)，將無法找到病毒的'發(fā)源地'，而無法將之清除。另一方面，注冊(cè)表也起著積極的作用。通過注冊(cè)表，我們可以進(jìn)一步加強(qiáng)Windows系統(tǒng)的安全，防止各種非授權(quán)的使用，以防止病毒和黑客的入侵。

1.保護(hù)個(gè)人信息

如果你是和別人合用一臺(tái)計(jì)算機(jī)，或者你有比較私人的內(nèi)容需要保護(hù)，那么你可以通過注冊(cè)表來加強(qiáng)對(duì)這些私人信息的保護(hù)。

(1)清除本機(jī)訪問信息

一般情況下，Windows為了方便使用者，總是將使用者最近訪問過的文檔、運(yùn)行過的程序等信息保存下來，我們需要去除掉Windows提供的這種方便。

下表中的值項(xiàng)，位于注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicIEsExplorer中。

(2)清除操作信息

在我們使用Windows操作系統(tǒng)的過程中，很多操作內(nèi)容都被存放到了注冊(cè)表中。例如通過'開始'菜單的'運(yùn)行'項(xiàng)運(yùn)行過的程序名稱、訪問過'網(wǎng)上鄰居'中的計(jì)算機(jī)、訪問過計(jì)算機(jī)上的文件夾等。通過注冊(cè)表，我們可以手工清除這些信息。

(3)加密個(gè)人文件夾

上面討論的都是清除用戶適用計(jì)算機(jī)時(shí)留下的信息。下面我們利用注冊(cè)表知識(shí)，來加密我們的存放了個(gè)人信息的文件夾。

我們知道，如果想隱藏你的文件夾，通過將文件夾的屬性設(shè)置為'隱藏'是沒有用的。用戶只需要在資源管理器的'工具'→'文件夾選項(xiàng)'→'查看'對(duì)話框中，選擇'顯示所有的文件和文件夾'項(xiàng)，就可以看到所有隱藏屬性的文件夾和文件。有一個(gè)小技巧，可以有效的保護(hù)你的文件夾。這個(gè)技巧就是，用類標(biāo)識(shí)符作為文件夾名的文件擴(kuò)展名。例如我們想保護(hù)文件夾C:mydata。

首先在注冊(cè)表項(xiàng)HKEY_CLASSES_ROOT中找到某個(gè)文件類型的CLSID，如MIDI文件的CLSID是{00022603-0000-0000-C000-000000000046}。將文件夾mydata的名稱加上{00022603-0000-0000-C000-000000000046}這個(gè)文件擴(kuò)展名，即將C:mydata的名稱修改為'C:mydata.{00022603-0000-0000-C000-000000000046}'。這時(shí)C:mydata的圖標(biāo)就從文件夾的圖標(biāo)變成了MIDI文件的圖標(biāo)。

在資源管理器中雙擊該圖標(biāo)，系統(tǒng)會(huì)報(bào)告該MIDI文件內(nèi)容錯(cuò)誤，無法播放(系統(tǒng)將文件夾當(dāng)作MIDI文件處理了)，因此用戶無法進(jìn)入C:mydata，也就無法查看該文件夾下的內(nèi)容。這樣做的好處是，我們可以成功的將我們的私人文件夾偽裝成一個(gè)普通的MIDI文件。

惟一能夠查看文件夾內(nèi)容的方法是:在Dos窗口中，使用CD命令進(jìn)入到該文件夾。

你可能會(huì)說，用戶只要將該文件夾的文件擴(kuò)展名去除，不就可以將保護(hù)的文件夾恢復(fù)出來了嗎?不用擔(dān)心，用戶做不到這一步。即使用戶在資源管理器的'工具'→'文件夾選項(xiàng)'→'查看'對(duì)話框中，去除對(duì)'隱藏已知文件類型的擴(kuò)展名'選項(xiàng)的選擇，使所有的文件都顯示出擴(kuò)展名。在資源管理器中，C:mydata也不會(huì)出現(xiàn)擴(kuò)展名。這樣，用戶就無法去除或者更改C:mydata. {00022603-0000-0000-C000-000000000046}的CLSID部分。

如果想在資源管理器中正常地查看該文件夾里的內(nèi)容，可以在DOS窗口中，將該文件夾重新改名為正確的名稱。

該方法結(jié)合下面的限制運(yùn)行程序的方法(限制運(yùn)行DOS窗口)，可以很有效的保護(hù)你的文件夾。

2.限制用戶運(yùn)行的程序(適用范圍:Windows 9x/Me/NT/2000/XP)

(1)禁止用戶通過'運(yùn)行'來運(yùn)行應(yīng)用程序

通過'開始'菜單的'運(yùn)行'，用戶可以輸入命令來啟動(dòng)某個(gè)程序。對(duì)于那些不是EXE為擴(kuò)展名的程序，也可以直接運(yùn)行。如果不希望用戶隨意執(zhí)行程序，可以將'開始'菜單中的'運(yùn)行'項(xiàng)去除。

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer中，新建一個(gè)雙字節(jié)值項(xiàng)NoRun，修改其值為1。

提示:除了'運(yùn)行'外，可以在DOS窗口中手工輸入命令來啟動(dòng)某個(gè)程序。

(2)禁止用戶運(yùn)行命令解釋器和批處理文件(適用于Windows NT/2000/XP)

通過修改注冊(cè)表，可以禁止用戶使用命令解釋器(CMD.exe)和運(yùn)行批處理文件(BAT文件)。

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsSystem中，新建一個(gè)雙字節(jié)值項(xiàng)DisableCMD，修改其值為2。則命令解釋器和批處理文件都不能夠被運(yùn)行。如果只是禁止命令解釋器的運(yùn)行，而運(yùn)行批處理文件的運(yùn)行，則修改DisableCMD的值為1。

(3)禁止運(yùn)行指定的程序

為了安全性起見，我們可能希望有些帶有危險(xiǎn)性的程序不讓用戶去運(yùn)行。這可以通過注冊(cè)表來實(shí)現(xiàn)。例如我們想禁止用戶運(yùn)行記事本(notepad.exe)和計(jì)算器(cal.Exe)。

首先在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer中，新建一個(gè)雙字節(jié)值項(xiàng)DisallowRun，修改其值為1，以允許我們定義禁止允許的程序，然后新建一個(gè)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorerDisallowRun，在其下新建兩個(gè)字符串值項(xiàng)。第一個(gè)值項(xiàng)的名稱為1，值為notepad.exe，第二個(gè)值項(xiàng)為2，值為calc.exe。如果想禁止更多的程序，可以依次建立名稱為3、4等順序往下排列的值項(xiàng)。修改注冊(cè)表后立即生效。這時(shí)想通過'開始'菜單運(yùn)行記事本和計(jì)算器程序，系統(tǒng)會(huì)提示不能進(jìn)行此操作。

注意:用戶在Windows NT/2000/XP的命令解釋器(CMD.exe)窗口中，仍然可以通過輸入'notepad.exe'運(yùn)行記事本。這是因?yàn)镈isallowRun禁止的只是通過資源管理器Explorer運(yùn)行的程序，記事本不是通過Explorer啟動(dòng)的，所以就無法禁止了。如果不希望用戶可以通過命令解釋器運(yùn)行程序，應(yīng)該在DisallowRun中將命令解釋器(CMD.exe)禁止。另外，此方式還有一個(gè)不安全之處，就是如果用戶將記事本程序'notepad.exe'更改名稱，如改成'note.exe'，用戶就可以運(yùn)行它了。

(4)只允許運(yùn)行指定的程序

為了限制用戶運(yùn)行程序，我們可以指定用戶只能運(yùn)行某些必須的程序。這種方式可以避免用戶運(yùn)行自己攜帶來的程序，有效地防范病毒地傳播。這可以通過注冊(cè)表來實(shí)現(xiàn)。

首先在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorer下新建一個(gè)雙字節(jié)值項(xiàng)RestrictRun ，修改其值為1，以允許我們指定可以運(yùn)行的程序。

然后新建一個(gè)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun，在其下新建兩個(gè)字符串值項(xiàng)。第一個(gè)值項(xiàng)的名稱為1，值為notepad.exe，第二個(gè)值項(xiàng)為2，值為calc.exe。如果想允許更多的程序，可以依次建立名稱為3、4等順序往下排列的值項(xiàng)。修改注冊(cè)表后立即生效。這時(shí)想通過'開始'菜單和資源管理器運(yùn)行其他的程序，系統(tǒng)會(huì)提示不能進(jìn)行此操作。

提示:如果你沒有允許注冊(cè)表編輯器運(yùn)行，你會(huì)發(fā)現(xiàn)你將無法恢復(fù)此方法所做的修改，因?yàn)闊o法用注冊(cè)表編輯器來修改注冊(cè)表了。在這種情況下，你可以將注冊(cè)表編輯器程序的名稱改變?yōu)槟阍试S運(yùn)行的某個(gè)程序的名稱，這樣你就可以運(yùn)行起來注冊(cè)表編輯器了。

注意:由于此方法的限制性非常大，所以請(qǐng)小心使用，尤其是避免沒有允許任何程序運(yùn)行這種情況。如果出現(xiàn)了這種情況，你將無法將此方法做的設(shè)定改變回來，因?yàn)槟銦o法修改注冊(cè)表。惟一的方法就是恢復(fù)修改前的注冊(cè)表備份。

(5)禁止使用注冊(cè)表編輯器

注冊(cè)表是復(fù)雜和危險(xiǎn)的，所以我們往往希望用戶不要嘗試著去修改注冊(cè)表。通過修改注冊(cè)表，我們可以禁止用戶運(yùn)行系統(tǒng)提供的兩個(gè)注冊(cè)表編輯器，Regedit.exe和Regedt32.exe。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPolicIEsSystem下新建一個(gè)雙字節(jié)值項(xiàng)DisableRegistryTools，修改其值為1。這樣，用戶就不能啟動(dòng)注冊(cè)表編輯器了。

注意:使用此功能要小心，最好作個(gè)注冊(cè)表備份，或者準(zhǔn)備一個(gè)其他的注冊(cè)表修改工具。因?yàn)槟阍诮沽俗?cè)表編輯器后，就不能再使用該注冊(cè)表編輯器將值項(xiàng)改回了。

(6)禁止用戶更改口令(適用于Windows NT/200/XP)

用戶在'Windows安全窗口'中(同時(shí)按下Ctrl+Alt+delete鍵)，可以單擊'更改密碼'來更改用戶口令。通過修改注冊(cè)表，可以禁止用戶更改口令。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem下新建一個(gè)雙字節(jié)值項(xiàng)DisableChangePassWord，修改其值為1。這樣，'Windows安全窗口'中的'更改密碼'按鈕變成了灰色不可選狀態(tài)，用戶無法更改口令。

(7)禁止用戶鎖定計(jì)算機(jī)(適用于Windows NT/2000/XP)

用戶在'Windows安全窗口'中，可以單擊'鎖定計(jì)算機(jī)'來鎖定計(jì)算機(jī)。通過修改注冊(cè)表，可以禁止用戶鎖定計(jì)算機(jī)。

在注冊(cè)表HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem中新建一個(gè)雙字節(jié)值項(xiàng)DisableLockWorkstation，修改其值為1。這樣，'Windows安全窗口'中的'鎖定計(jì)算機(jī)'按鈕變成了灰色不可選狀態(tài)，用戶無法鎖定計(jì)算機(jī)。

(8)禁止用戶使用任務(wù)管理器(適用于Windows NT/2000/XP)

用戶可以使用'Windows任務(wù)管理器'(Taskmgr.exe)來啟動(dòng)和結(jié)束本地進(jìn)程、查看和管理其他計(jì)算機(jī)上的進(jìn)程、改變進(jìn)程的優(yōu)先級(jí)。通過修改注冊(cè)表，可以禁止用戶使用任務(wù)管理器。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesSystem下新建一個(gè)雙字節(jié)值項(xiàng)DisableTaskMgr，修改其值為1。這樣，用戶就無法啟動(dòng)任務(wù)管理器了。

3.限制用戶可以查看的資源(適用范圍:Windows 9x/Me/NT/2000/XP)

(1)隱藏指定的磁盤驅(qū)動(dòng)器

如果我們不希望使用者查看某個(gè)驅(qū)動(dòng)器的內(nèi)容，可以在'我的電腦'和資源管理器中將該驅(qū)動(dòng)器的圖標(biāo)隱藏起來。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)NoDrives。

該值項(xiàng)共使用了從最低位(第0位)到第25位，共26個(gè)字位，分別代表驅(qū)動(dòng)器A到驅(qū)動(dòng)器Z。如果第0位為1，表示不顯示驅(qū)動(dòng)器A的圖標(biāo)，第3位為1，表示不顯示驅(qū)動(dòng)器D的圖標(biāo)，依此類推。例如我們想'我的電腦'中不顯示任何驅(qū)動(dòng)器的圖標(biāo)，可以修改'NoDrives'的值為'03ffffff'(第0位到31位全部為1)。修改后重啟桌面使改動(dòng)生效。

修改后，不只是'我的電腦'，還包括'網(wǎng)上鄰居'、資源管理器，任何標(biāo)準(zhǔn)的'打開'、'保存'文件的對(duì)話框，都不會(huì)出現(xiàn)指定驅(qū)動(dòng)器的圖標(biāo)。雖然這些驅(qū)動(dòng)器的圖標(biāo)不能出現(xiàn)，但是用戶仍然可以訪問這些驅(qū)動(dòng)器。例如可以在資源管理器的地址欄中輸入驅(qū)動(dòng)器號(hào)，或者在Dos窗口中使用命令查看隱藏了的驅(qū)動(dòng)器。

(2)禁止用戶查看指定磁盤驅(qū)動(dòng)器的內(nèi)容

如果有一個(gè)驅(qū)動(dòng)器中存放了重要的數(shù)據(jù)，我們不希望使用者查看該驅(qū)動(dòng)器的內(nèi)容，可以使用此方法來禁止查看該驅(qū)動(dòng)器的內(nèi)容。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)NoViewOnDrive。該值項(xiàng)共使用了從最低位(第0位)到第25位，共26個(gè)字位，分別代表驅(qū)動(dòng)器A到驅(qū)動(dòng)器Z。如果第0位為1，表示禁止使用驅(qū)動(dòng)器A，第3位為1，表示禁止使用驅(qū)動(dòng)器D，依此類推。例如我們想禁止用戶使用軟盤驅(qū)動(dòng)器A和B，以及驅(qū)動(dòng)器D，可以修改'NoViewOnDrive'的值為'0000000b'(第0、1、3位的值為1)。修改后需要重啟桌面使改動(dòng)生效。

這時(shí)再進(jìn)入到'我的電腦'，雙擊驅(qū)動(dòng)器D，系統(tǒng)會(huì)彈出一個(gè)消息框，告訴用戶不能進(jìn)行此操作。不只是'我的電腦'，還包括'網(wǎng)上鄰居'、資源管理器，任何標(biāo)準(zhǔn)的'打開'、'保存'文件的對(duì)話框，都不能對(duì)已經(jīng)禁止的驅(qū)動(dòng)器進(jìn)行操作，雖然在'我的電腦'和資源管理器中，驅(qū)動(dòng)器D的圖標(biāo)仍然存在。

提示:該方法只是禁止用戶在'我的電腦'和資源管理器中訪問受限制的驅(qū)動(dòng)器，應(yīng)用程序仍然可以訪問被禁止的驅(qū)動(dòng)器。

(3)登錄時(shí)不顯示上次使用者的用戶名(適用于Windows NT/2000/XP)

默認(rèn)情況下，在用戶注冊(cè)登錄時(shí)，在用戶名欄中顯示著上次使用者的用戶名。通過修改注冊(cè)表，我們可以禁止系統(tǒng)顯示上次使用者的用戶名，以加強(qiáng)安全性。

在注冊(cè)表項(xiàng)HKEY_LOCAL_MacHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon中新建一個(gè)雙字節(jié)值項(xiàng)DontDisplayLastUserName，修改其值為1。重新啟動(dòng)機(jī)器后，在用戶注冊(cè)畫面中，不會(huì)顯示上次使用者的用戶名。

4.限制用戶使用控制面板(適用范圍:Windows 9x/Me/NT/2000/XP)

控制面板提供給用戶一個(gè)直觀的界面來更改Windows的部分參數(shù)，使Windows的界面和功能更符合自己的需要。不恰當(dāng)?shù)氖褂每刂泼姘澹瑫?huì)帶來一些問題

(1)禁用整個(gè)控制面板

在注冊(cè)表項(xiàng)項(xiàng)HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)NoControlPanel。值為1表示禁止控制面板的使用，值為0或者值項(xiàng)不存在表示允許用戶使用控制面板。

重啟桌面使改動(dòng)生效后，可以看到，'開始'菜單中'設(shè)置'中的'控制面板'項(xiàng)不見了，并且如圖試圖用別的方式訪問'控制面板'中的項(xiàng)目，例如在桌面上單擊鼠標(biāo)右鍵來訪問'顯示'，系統(tǒng)會(huì)彈出一個(gè)消息框，提示用戶不能進(jìn)行此操作。

(2)去除'控制面板'中的指定項(xiàng)目(適用于Windows 2000/XP)

有時(shí)候我們想去除掉'控制面板'中的某些項(xiàng)目，以防止用戶使用它們來進(jìn)行設(shè)置，但是又想允許用戶使用'控制面板'中的另外一些項(xiàng)目，這也是可以做到的。 在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)DisallowCpl,并修改其值為1。然后新建一個(gè)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl，在該項(xiàng)下新建若干個(gè)字符串值項(xiàng)，形式為'序號(hào)=控制面板項(xiàng)對(duì)應(yīng)的文件名'。例如想去除控制面板中的'顯示'和'系統(tǒng)'兩項(xiàng)，可以在該項(xiàng)下新建兩個(gè)值項(xiàng)'1'和'2'，值分別為'desk.cpl'(顯示項(xiàng)對(duì)應(yīng)的文件)和sysdm.cpl(系統(tǒng)項(xiàng)對(duì)應(yīng)的文件)。重啟桌面使改動(dòng)生效。這時(shí)再進(jìn)入到'控制面板'中，可以看到，'顯示'項(xiàng)和'系統(tǒng)'項(xiàng)已經(jīng)不見了。

(3)指定'控制面板'中顯示的項(xiàng)目(適用于Windows 2000/XP)

如果我們想去除掉'控制面板'中的大部分項(xiàng)目，只允許用戶使用幾個(gè)項(xiàng)目，則可以使用本方法。'控制面板'中只顯示用戶指定的項(xiàng)目，對(duì)于沒有指定的項(xiàng)目則不顯示。

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrent VersionPoliciesExplore中新建一個(gè)雙字節(jié)值項(xiàng)RestrictCpl，修改其值為1，然后新建一個(gè)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploreRestrictCpl，在該項(xiàng)下新建若干個(gè)字符串(REG_SZ)值項(xiàng)，形式為'序號(hào)=控制面板項(xiàng)對(duì)應(yīng)的文件名'。例如只允許用戶使用控制面板中的'顯示'和'系統(tǒng)'兩項(xiàng)，可以在該項(xiàng)下新建兩個(gè)值項(xiàng)'1'和'2'，值分別為'desk.cpl'(顯示項(xiàng)對(duì)應(yīng)的文件)和sysdm.cpl(系統(tǒng)項(xiàng)對(duì)應(yīng)的文件)。重啟桌面使改動(dòng)生效。這時(shí)再進(jìn)入到'控制面板'中，可以看到，整個(gè)控制面板中只有'顯示'項(xiàng)和'系統(tǒng)'項(xiàng)。

注意:使用去除控制面板中的指定項(xiàng)目和指定控制面板中顯示的項(xiàng)目都可以定制控制面板中項(xiàng)目的顯示，但是這兩個(gè)方法有可能發(fā)生沖突。如果發(fā)生沖突，則去除控制面板中的指定項(xiàng)目方法優(yōu)先。 (4)去除'系統(tǒng)'中的'設(shè)備管理'標(biāo)簽(適用于Windows 9x/Me)

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem中，新建一個(gè)雙字節(jié)的值項(xiàng)NoDevMgrPage，修改其值為1。這時(shí)再進(jìn)入到'控制面板'中的'系統(tǒng)'項(xiàng)，可以看到'設(shè)備管理'標(biāo)簽已經(jīng)不見了。

(5)去除'系統(tǒng)'中的'硬件配置'標(biāo)簽(適用于Windows 9x/Me)

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，新建一個(gè)雙字節(jié)的值項(xiàng)NoConfigPage，修改其值為1。這時(shí)再進(jìn)入到'控制面板'中的'系統(tǒng)'項(xiàng)，可以看到'硬件配置'標(biāo)簽已經(jīng)不見了。

(6)去除'系統(tǒng)'中的'性能'標(biāo)簽里的'文件系統(tǒng)'按鈕(適用于Windows 9x/Me)

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，新建一個(gè)雙字節(jié)的值項(xiàng)NoFileSysPage，修改其值為1。這時(shí)再進(jìn)入到'控制面板'中的'性能'項(xiàng)，可以看到'性能'標(biāo)簽中的'文件系統(tǒng)'按鈕已經(jīng)不見了。

(7)去除'系統(tǒng)'中的'性能'標(biāo)簽里的'虛擬內(nèi)存'按鈕(適用于Windows 9x/Me)

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem下，新建一個(gè)雙字節(jié)的值項(xiàng)NoVirtMemPage，修改其值為1。這時(shí)再進(jìn)入到'控制面板'中的'性能'項(xiàng)，可以看到'性能'標(biāo)簽中的'虛擬內(nèi)存'按鈕已經(jīng)不見了。

(8)禁用'顯示'項(xiàng)

我們可以禁止使用'控制面板'中的顯示項(xiàng)。雖然'顯示'項(xiàng)仍然出現(xiàn)在'控制面板'中，但是用戶不能使用。在注冊(cè)表項(xiàng)HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrent VersionPoliciesSystem中新建一個(gè)雙字節(jié)值項(xiàng)NoDispCPL，修改其值為1。這時(shí)進(jìn)入'控制面板'，雙擊'顯示'項(xiàng)，系統(tǒng)會(huì)出現(xiàn)一個(gè)消息框提示用戶不可以進(jìn)行此操作。

(9)去除'顯示'項(xiàng)中的'背景'標(biāo)簽

在注冊(cè)表項(xiàng)HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicIEssystem中新建一個(gè)雙字節(jié)值項(xiàng)NoDispBackgr oundPage，修改其值為1。

(10)禁止'顯示'項(xiàng)里的'背景'標(biāo)簽(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesActiveDesktop中新建一個(gè)雙字節(jié)值項(xiàng)NoChangingWallPaper，修改其值為1。

(11)去除'顯示'項(xiàng)中的'屏幕保護(hù)程序'標(biāo)簽

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一個(gè)雙字節(jié)值項(xiàng)NoDispScrSavPage，修改其值為1。

(12)決定屏幕保護(hù)程序是否使用密碼保護(hù)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindowsControl PanelDesktop中新建一個(gè)雙字節(jié)值項(xiàng)ScreenSaverIsSecure，修改其值為1。

(13)去除'顯示'項(xiàng)中的'外觀'標(biāo)簽

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一個(gè)雙字節(jié)值項(xiàng)NoDispAppearancePage，修改其值為1。

(14)去除'顯示'項(xiàng)中的'設(shè)置'標(biāo)簽

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciessystem中新建一個(gè)雙字節(jié)值項(xiàng)NoDispSettingsPage，修改其值為1。

(15)禁止刪除打印機(jī)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)NodeletePrinter，修改其值為1。

(16)去除'打印機(jī)'中的'添加打印機(jī)'項(xiàng)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesExplorer中新建一個(gè)雙字節(jié)值項(xiàng)NoAddPrinter'，修改其值為1。

(17)禁止'添加打印機(jī)向?qū)?中的'瀏覽網(wǎng)絡(luò)打印機(jī)'項(xiàng)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwarePolicies MicrosoftWindows NTPrintersWizard中新建一個(gè)雙字節(jié)值項(xiàng)Downlevel Browse，修改其值為1。

如果用戶想添加網(wǎng)絡(luò)打印機(jī)，只能輸入網(wǎng)絡(luò)打印機(jī)的URL。

(18)去除'添加/刪除'項(xiàng)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesUninstall中新建一個(gè)字符串值項(xiàng)NoAddRemovePrograms，修改其值為1。

(19)去除'添加/刪除'項(xiàng)中的'更改或刪除程序'項(xiàng)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一個(gè)雙字節(jié)值項(xiàng)NoRemovePage，修改其值為1。

(20)去除'添加/刪除'項(xiàng)中的'添加新程序'項(xiàng)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一個(gè)雙字節(jié)值項(xiàng)NoAddPage，修改其值為1。

(21)去除'添加/刪除'項(xiàng)中的'添加/刪除Windows組件'項(xiàng)(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一個(gè)雙字節(jié)值項(xiàng)NoWindowsSetupPage，修改其值為1。

(22)去除'添加/刪除'項(xiàng)目中'添加新程序'中的'從光盤或軟盤添加程序'(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一個(gè)雙字節(jié)值項(xiàng)NoAddFromCDor Floppy，修改其值為1。

(23)去除'添加/刪除'項(xiàng)目中'添加新程序'中的'從Microsoft添加程序'(適用于Windows 2000/XP)

在注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrent VersionPoliciesUninstall中新建一個(gè)雙字節(jié)值項(xiàng)NoAddFromInternet，修改其值為1。

5.防范黑客攻擊(適用范圍:Windows 9x/Me/NT/2000/XP)

注冊(cè)表中有些參數(shù)，設(shè)置合適的話可以防范一些黑客技術(shù)的攻擊。Dos(拒絕服務(wù))攻擊是一種常見的黑客攻擊方式，其中SYN淹沒攻擊是DoS中比較常見的。我們?cè)谶@里給出一個(gè)防范SYN攻擊的設(shè)置方法。

(1)減小等待SYN-ACK包的時(shí)間

TCP在發(fā)送SYN-ACK包后，首先等待3秒鐘，如果仍然沒有回應(yīng)，則將時(shí)間加大一倍，從3秒增大到6秒，再重發(fā)一次SYN-ACK，然后繼續(xù)等待回應(yīng)。重發(fā)的次數(shù)定義在注冊(cè)表中的一個(gè)雙字節(jié)值項(xiàng)TcpMaxConnectResponseRetransmissions 里，該值項(xiàng)位于注冊(cè)表項(xiàng)HKEY_LOCAL_MacHINESYSTEMCurrentControlSet ServicesTcpipParameters中。默認(rèn)值為3，表示重發(fā)次數(shù)為3次，先等待3秒后發(fā)送一次，然后等待6秒后發(fā)送一次，然后等待12秒發(fā)送一次，最后等待24秒，如果仍然接收不到回應(yīng)，不再繼續(xù)發(fā)送SYN-ACK，而是清除此次連接，并釋放所有資源。這樣總共經(jīng)過了45秒鐘。值為2表示重發(fā)次數(shù)為2次，總共的耗費(fèi)時(shí)間為21秒，值為1表示重發(fā)次數(shù)為1次，總共的耗費(fèi)時(shí)間為9秒。0表示不重發(fā)SYN-ACK，耗費(fèi)時(shí)間為3秒。耗費(fèi)時(shí)間越短，SYN攻擊造成的影響就相應(yīng)的要小一些。此值項(xiàng)的默認(rèn)值為3次。如果系統(tǒng)容易受到SYN淹沒攻擊，可以將此值項(xiàng)修改為2。 (2)增大NetBT的連接塊增加幅度和最大數(shù)目

NetBT(基于TCP/IP的NetBIOS)使用139號(hào)TCP端口，一般用在微軟網(wǎng)絡(luò)中，例如文件和打印服務(wù)。在建立連接時(shí)，如果BetBT發(fā)現(xiàn)可用的連接塊數(shù)目小于2個(gè)，會(huì)自動(dòng)的再分配可用連接塊。

NetBT每次增加的連接塊的數(shù)目定義在注冊(cè)表中的雙字節(jié)值項(xiàng)BacklogIncrement中，該值項(xiàng)位于注冊(cè)表項(xiàng)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesNetBtParameters下。默認(rèn)值為3，最小值為1，最大值位20。增大此值可以在有眾多連接時(shí)提升性能。每個(gè)連接塊消耗87個(gè)字節(jié)。

NetBT最多可以使用的連接塊的數(shù)目定義在注冊(cè)表項(xiàng)中雙字節(jié)值項(xiàng)MaxConnBackLog中，默認(rèn)為1000個(gè)，最大值可以取到40000個(gè)?？梢赃m當(dāng)?shù)脑龃蟠藚?shù)的值以允許更多的同時(shí)連接。

(3)配置動(dòng)態(tài)Bakclog(適用于Windows NT/2000/XP)

對(duì)于使用Sockets的Windows服務(wù)，如FTP，可以通過配置動(dòng)態(tài)Backlog來提升在網(wǎng)絡(luò)繁忙時(shí)的性能。使用動(dòng)態(tài)Bakclog，系統(tǒng)會(huì)預(yù)先分配一定的資源用于建立連接，這樣就省去了給連接分配資源的時(shí)間和CPU消耗。如果需要再增加資源，可以一次性的增加若干個(gè)連接所需的資源空間。

在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAFDParameters中新建下面的雙字節(jié)值項(xiàng):

EnableDynamicBacklog，該值項(xiàng)的默認(rèn)值為0，表示是否允許動(dòng)態(tài)Backlog。默認(rèn)值為0。對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊的系統(tǒng)，建議設(shè)置為1，表示允許動(dòng)態(tài)Backlog。

MinimumDynamicBacklog，該值項(xiàng)的默認(rèn)值為0，表示動(dòng)態(tài)Backlog分配的自由連接的最小數(shù)目。當(dāng)自由連接數(shù)目低于此數(shù)目時(shí)，將自動(dòng)的分配自由連接。默認(rèn)值為0，對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊的系統(tǒng)，建議設(shè)置為20。

MaximumDynamicBacklog，該值項(xiàng)的默認(rèn)值為0，表示定義最大'準(zhǔn)'連接的數(shù)目。'準(zhǔn)'連接包括自由連接和半連接。對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊的系統(tǒng)，應(yīng)該設(shè)置此值，大小取決于內(nèi)存的多少。一般來說，每32M內(nèi)存最大可以增加5000個(gè)。

DynamicBacklogGrowthDelta，該值項(xiàng)的默認(rèn)值為5，表示定義每次增加的自由連接數(shù)目。對(duì)于網(wǎng)絡(luò)繁忙或者易遭受SYN攻擊的系統(tǒng)，建議設(shè)置為10。

(4)啟用SYN淹沒攻擊保護(hù)特性(適用于Windows 2000/XP)

Windows 2000/XP針對(duì)SYN淹沒攻擊提供了一個(gè)叫做SYN淹沒攻擊保護(hù)的特性。當(dāng)出現(xiàn)了SYN淹沒攻擊的征兆時(shí)，Windows 2000/XP自動(dòng)降低對(duì)那些無法確認(rèn)的連接請(qǐng)求的響應(yīng)時(shí)間。

在注冊(cè)表項(xiàng)HKLMSYSTEMCurrentControlSetServicesTcpipParameters中新建下面的雙字節(jié)值項(xiàng):

SynAttackProtect，該值項(xiàng)的默認(rèn)值為0，表示定義是否允許SYN淹沒攻擊保護(hù)特性。保證該值為1，表示允許啟用SYN淹沒攻擊保護(hù)特性。

TcpMaxConnectResponseRetransmissions，該值項(xiàng)的默認(rèn)值為3，表示定義了對(duì)于連接請(qǐng)求回應(yīng)包的重發(fā)次數(shù)。如果該值為1，則SYN淹沒攻擊不會(huì)有效果，但是這樣會(huì)造成連接請(qǐng)求失敗幾率的升高。SYN淹沒保護(hù)特性只有在該值大小大于或等于2時(shí)才會(huì)被啟用。該值的默認(rèn)值為3。

以上兩個(gè)值項(xiàng)定義了是否允許SYN淹沒攻擊保護(hù)。下面三個(gè)值項(xiàng)則定義了激活SYN淹沒攻擊保護(hù)特性的條件。當(dāng)滿足下面三個(gè)值項(xiàng)定義的條件之一時(shí)，系統(tǒng)會(huì)自動(dòng)激活SYN淹沒攻擊保護(hù)。

TcpMaxHalfOpen，該值項(xiàng)的默認(rèn)值為100或者500，表示定義了能夠處于SYN_RECEIVED狀態(tài)的TCP連接的數(shù)目。由于SYN淹沒攻擊通常會(huì)造成大量的SYN_RECEIVED狀態(tài)的TCP連接，因此保護(hù)特性將該值作為SYN淹沒攻擊發(fā)生的一個(gè)征兆。當(dāng)處于SYN_RECEIVED狀態(tài)的TCP連接的數(shù)目超過該值項(xiàng)的定義時(shí)，系統(tǒng)認(rèn)為SYN淹沒攻擊發(fā)生了，自動(dòng)啟用保護(hù)特性。

對(duì)于Windows 2000 Server，該值項(xiàng)默認(rèn)值為100。對(duì)于Windows 2000 Professional，該值項(xiàng)默認(rèn)值為500。Professional之所以比Server的值高，是因?yàn)镻rofessional通常不用作服務(wù)器，也就不會(huì)受到SYN淹沒攻擊。

TcpMaxHalfOpenRetried，該值項(xiàng)的默認(rèn)值為80或者40，表示定義了在重新發(fā)送連接請(qǐng)求后，仍然處于SYN_RECEIVED狀態(tài)的TCP連接的數(shù)目。當(dāng)這種狀態(tài)的TCP連接的數(shù)目超過該值項(xiàng)的定義時(shí)，系統(tǒng)認(rèn)為SYN淹沒攻擊發(fā)生了，自動(dòng)啟用保護(hù)特性。

對(duì)于Windows 2000 Server，該值項(xiàng)默認(rèn)值為80。對(duì)于Windows 2000 Professional，該值項(xiàng)默認(rèn)值為400。

TcpMaxPortsExhausted，該值項(xiàng)的默認(rèn)值為5，表示定義了系統(tǒng)拒絕連接請(qǐng)求的次數(shù)。當(dāng)系統(tǒng)保留的連接端口都被使用掉時(shí)，系統(tǒng)將拒絕所有的連接請(qǐng)求。SYN淹沒攻擊通常會(huì)發(fā)生這種情況，因此保護(hù)特性將該值作為SYN淹沒攻擊發(fā)生的一個(gè)征兆。當(dāng)被拒絕的連接請(qǐng)求的數(shù)目超過該值項(xiàng)的定義時(shí)，系統(tǒng)認(rèn)為SYN淹沒攻擊發(fā)生了，自動(dòng)啟用保護(hù)特性。

7.檢查Windows啟動(dòng)時(shí)的程序(適用范圍:Windows 2000/XP)

在Windows環(huán)境下，由于病毒必須獲得CPU的控制權(quán)，因此很多病毒都需要在Windows啟動(dòng)后，自動(dòng)地運(yùn)行起來。另一方面，越來越多的病毒采用了高級(jí)語言的形式，象宏病毒，采用的是VB語言，本身不能直接由CPU來執(zhí)行，必須由相關(guān)程序解釋執(zhí)行，因此它們必須在操作系統(tǒng)正常啟動(dòng)后，才能加載自身，進(jìn)行病毒傳播。因此說，很多病毒必須在Windows啟動(dòng)后自動(dòng)地運(yùn)行起來，并且是依賴于Windows的自動(dòng)啟動(dòng)程序的功能。這是這些病毒的一個(gè)特點(diǎn)，也是一大弱點(diǎn)。我們可以根據(jù)這個(gè)特點(diǎn)，分析Windows啟動(dòng)時(shí)有那些程序自動(dòng)運(yùn)行，通過檢查這些程序來防范病毒的侵襲。

(1)注冊(cè)表項(xiàng)HKEY_LOCAL_MacHINESYSTEMCurrentControlSetServices

該項(xiàng)下存放了Windows NT/2000/XP的服務(wù)程序。下面的每一個(gè)子項(xiàng)對(duì)應(yīng)于一個(gè)服務(wù):

ImagePath值項(xiàng)存放了該服務(wù)的程序文件路徑。這些服務(wù)都有一個(gè)Start值項(xiàng)。值為0，表示由核心裝載器裝載;值為1，表示由I/O子系統(tǒng)裝載。Start值為0和1的，都是非常低級(jí)和關(guān)鍵的Windows服務(wù)，它們必須正常啟動(dòng)，Windows NT/2000/XP才能繼續(xù)啟動(dòng)。通常病毒不會(huì)將自己放在這里面，因?yàn)檫@時(shí)候WindowsNT/2000/XP只裝載了核心部分，只有最基本的功能。Start值為2，表示自動(dòng)啟動(dòng)，值為3，表示手工啟動(dòng)，值為4，表示禁止啟動(dòng)。這三類服務(wù)，可以在'控制面板'→'管理工具'→'服務(wù)'中查看到。

我們需要檢查的是，那些Start值為2的服務(wù)，其對(duì)應(yīng)的程序文件(ImagePath值項(xiàng)定義)是否可疑。

(2)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession Manager

該項(xiàng)下存放了會(huì)話管理器(Smss.exe)的信息。在Windows NT/2000/XP的內(nèi)核啟動(dòng)階段，需要啟動(dòng)該項(xiàng)下定義的幾個(gè)程序。在REG_MULTI_SZ類型的值項(xiàng)BootExecute中，定義了會(huì)話管理器裝載服務(wù)前需要運(yùn)行的程序。默認(rèn)值為AutoCheck autochk *和Dfsinit。該默認(rèn)值表示運(yùn)行磁盤檢查程序，以及啟動(dòng)DFS文件系統(tǒng)的初始化程序。

我們需要檢查的是，值項(xiàng)BootExecute存放的是否是默認(rèn)的執(zhí)行文件，是否還定義了其他的執(zhí)行程序。

(3)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonUserinit

該值項(xiàng)類型為字符串值，定義了用戶注冊(cè)進(jìn)入時(shí)執(zhí)行的初始化程序。在用戶注冊(cè)時(shí)，注冊(cè)管理程序(Winlogon)啟動(dòng)該初始化程序，默認(rèn)值是Userinit.exe。該程序首先運(yùn)行注冊(cè)腳本，建立網(wǎng)絡(luò)連接，然后啟動(dòng)用戶界面程序(Explorer.exe)。用戶可以替換該初始化程序?yàn)樽约旱某跏蓟绦?當(dāng)然，病毒也可以做到)。一般地，用戶自己的初始化程序可以在處理完自己需要進(jìn)行的工作后，再調(diào)用Userinit.exe程序即可。

我們需要檢查的是，Userinit值項(xiàng)的值是否是Userinit.exe。同時(shí)檢查WinntSystem32下的Userinit.exe文件的大小和時(shí)間是否是正常的。

(4)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonShell

該值項(xiàng)類型為字符串值，定義了用戶界面程序，默認(rèn)值為Explorer.exe。正常情況下，注冊(cè)管理程序(Winlogon)啟動(dòng)Userinit定義的初始化程序，該初始化程序會(huì)啟動(dòng)用戶界面程序，因此不需要運(yùn)行Shell值項(xiàng)定義的程序。如果注冊(cè)管理程序沒有能成功啟動(dòng)Userinit定義的初始化程序，則注冊(cè)管理程序會(huì)過來啟動(dòng)該Shell值項(xiàng)定義的用戶界面程序。

我們需要檢查的是， Shell值項(xiàng)的值是否是Explorer.exe。

(5)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonSystem(適用于Windows NT)

該值項(xiàng)類型為字符串值，該值項(xiàng)中存放了安全管理器程序，默認(rèn)值為Lsass.exe。安全管理器就是Windows NT啟動(dòng)時(shí)，或者屏幕保護(hù)后，要求輸入用戶和密碼的畫面。用戶可以替換該安全管理器程序。

我們需要檢查的是System值項(xiàng)的值是否是Lsass.exe。

(6)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSOFTWAREMicrosoftWindows CurrentVersionPolicIEsExplorerRun

在該項(xiàng)下可以有若干個(gè)字符串類型的值項(xiàng)，每個(gè)值項(xiàng)的名稱從1開始，值為程序或者文檔的名稱。在用戶注冊(cè)進(jìn)入Windows時(shí)，該項(xiàng)下定義的程序?qū)⒈粏?dòng)起來。例如該項(xiàng)下有兩個(gè)值項(xiàng)，第一個(gè)是1，值為Notepad.exe，第二個(gè)是2，值為C:readme.doc，則在用戶注冊(cè)進(jìn)入Windows 2000時(shí)，系統(tǒng)會(huì)首先運(yùn)行起Notepad.exe程序，然后會(huì)使用DOC的關(guān)聯(lián)程序打開C:readme.doc文檔。

我們需要檢查的是，如果定義了自動(dòng)啟動(dòng)程序，則查找該程序是哪個(gè)軟件對(duì)應(yīng)的，是否為可疑程序。默認(rèn)情況下，該注冊(cè)表項(xiàng)下應(yīng)該為空。

(7)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun

該項(xiàng)與HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun的作用一樣，不同之處在于，由于它位于HKEY_LOCAL_MACHINE下，所以它將應(yīng)用于所有的用戶。在啟動(dòng)順序上，系統(tǒng)首先啟動(dòng)HKEY_LOCAL_MACHINE下的Run中的程序，再去啟動(dòng)HKEY_CURRENT_USER下Run中的程序。

(8)注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(xiàng)(適用于Windows 9x/Me/NT/2000/XP)

由于是位于HKEY_CURRENT_USER下，因此該項(xiàng)只適用于當(dāng)前這個(gè)用戶，不適用于其他的用戶。在用戶注冊(cè)進(jìn)入Windows系統(tǒng)時(shí)，自動(dòng)地運(yùn)行該項(xiàng)下定義的程序或文檔。其中Run子項(xiàng)中定義了每次系統(tǒng)啟動(dòng)時(shí)都需要運(yùn)行的程序，值項(xiàng)類型是字符串值，值項(xiàng)的名稱是該運(yùn)行程序的說明，值項(xiàng)的值是程序的名稱;RunOnce子項(xiàng)中定義了只運(yùn)行一次的程序，在該項(xiàng)下的值項(xiàng)中定義的程序運(yùn)行起來后，該項(xiàng)下的值項(xiàng)就會(huì)被刪除掉，這通常用于程序的安裝過程;RunEx和RunOnceEx的作用和Run、RunOnce是一樣的，是Run、RunOnce的擴(kuò)充形式。

(9)注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(xiàng)(適用于Windows 9x/Me/NT/2000/XP)

該項(xiàng)和HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、RunEx和RunOnceEx作用一樣，不同之處在于，由于它位于HKEY_LOCAL_ MACHINE下，所以它將應(yīng)用于所有的用戶。在啟動(dòng)順序上，系統(tǒng)首先啟動(dòng)HKEY_LOCAL_MACHINE下定義的啟動(dòng)項(xiàng)目，再去啟動(dòng)HKEY_CURRENT_USER下定義的啟動(dòng)項(xiàng)目。

我們需要檢查的是，對(duì)于默認(rèn)情況以外定義的程序，需要檢查其對(duì)應(yīng)的軟件。很多軟件將自動(dòng)啟動(dòng)程序放在注冊(cè)表中的這個(gè)位置。例如Norton Antivirus防毒軟件，就會(huì)在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun下新建一個(gè)值項(xiàng)NPS Event Checker，值為C:PROGRA~1Navnt npscheck.exe。

下表中列出了默認(rèn)情況下，Windows系統(tǒng)中Run下的自動(dòng)運(yùn)行項(xiàng)目。

(10)檢查非注冊(cè)表部分

首先檢查啟動(dòng)文件和磁盤引導(dǎo)扇區(qū)。對(duì)于Windows 9x/Me，啟動(dòng)文件是啟動(dòng)盤目錄下的IO.sys和Command.com文件。同時(shí)，還包括Autoexec.bat文件中定義的程序文件，以及Config.sys文件中裝載的程序文件。對(duì)于Windows NT/2000/XP，啟動(dòng)文件是啟動(dòng)盤目錄下的Ntldr，Ntdetect.com、Ntbootdd.sys(如果boot.ini文件使用SCSI語法)、Bootsect.Dos(如果使用了多重啟動(dòng)，對(duì)應(yīng)于啟動(dòng)到DOS環(huán)境)，以及Winnt目錄下的Ntoskrnl.exe(核心程序文件)和Hal.dll(硬件抽象層)。

其次，對(duì)于Windows 9x，還需要檢查Win.ini文件和System.ini文件。Win.ini文件中的'run='和'load='行，定義了Windows 9x啟動(dòng)時(shí)需要裝載的程序。

最后，需要檢查'開始'菜單中'程序'中的'啟動(dòng)'程序組，'啟動(dòng)'程序組中存放了Windows正常啟動(dòng)起來后，需要啟動(dòng)的程序。

8.禁止舊版本的'自動(dòng)運(yùn)行'程序列表(適用范圍:Windows 2000/XP)

注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE_SoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce下存放的是'自動(dòng)運(yùn)行'的程序列表，它們是舊版本的'自動(dòng)運(yùn)行'程序列表，在Windows95/98/NT中就已經(jīng)有了。在注冊(cè)表中有兩個(gè)值項(xiàng)，可以禁止這兩個(gè)舊版本列表起作用，替代它們的是RunEx和RunOnceEx注冊(cè)表項(xiàng)。

這兩個(gè)值項(xiàng)位于注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下。

9.禁止遠(yuǎn)程訪問光盤和軟盤(適用范圍:Windows NT/2000/XP)

在C2級(jí)別的安全要求中，必須對(duì)可移動(dòng)介質(zhì)的安全作保護(hù)，它要求當(dāng)本地用戶在使用計(jì)算機(jī)時(shí)，光盤和軟盤稱為本地用戶的專有資源，網(wǎng)絡(luò)上的其他用戶，包括系統(tǒng)管理員，都不能夠訪問光盤和軟盤。這是因?yàn)榇藭r(shí)使用的可移動(dòng)介質(zhì)，通常是本地用戶私人的，因此不應(yīng)該給其他人看到。 下表的值項(xiàng)存放在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon中。

10.設(shè)定口令的最小長度(適用范圍:Windows 9x/Me/NT/2000/XP)

默認(rèn)情況下，口令可以設(shè)置為空。為了加強(qiáng)安全性，我們可以強(qiáng)行指定口令的最小長度。

在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork下，創(chuàng)建二進(jìn)制類型的值項(xiàng)MinPwdLen，并修改其值為口令的長度，例如6。這樣，用戶在設(shè)定口令時(shí)，最少要設(shè)定6位的長度。

四、提升Windows系統(tǒng)性能

通過注冊(cè)表，我們可以定制Windows的功能，使之更加符合我們的習(xí)慣和需求。

1.定制Windows的登錄(適用范圍:Windows 9x/Me/NT/2000/XP)

(1)開機(jī)后自動(dòng)登錄

為了使用Windows NT/2000/XP，我們必須輸入一個(gè)用戶名稱和用戶口令來登錄。在Windows 9x/Me中，如果登錄方式設(shè)置為'Microsoft網(wǎng)絡(luò)登錄'，在進(jìn)入Windows時(shí)，也需要輸入用戶名和口令，否則將不能訪問網(wǎng)上鄰居中的計(jì)算機(jī)。

為了方便起見，我們可以將用戶名和用戶密碼存放到注冊(cè)表中，這樣Windows啟動(dòng)時(shí)，自動(dòng)使用注冊(cè)表中的用戶名和用戶密碼來登錄，而不用用戶手工輸入。

對(duì)于Windows NT/2000/XP，在注冊(cè)表項(xiàng)HKEY_LOCAL_MacHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon下新建值項(xiàng)。對(duì)于Windows 9x/Me，在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionWinlogon下新建值項(xiàng)。下表中詳細(xì)列出新建的值項(xiàng)。

(2)在登錄前顯示自定義的信息

我們可以在Windows啟動(dòng)之前顯示一些信息，以給用戶一些提示或是警告。

對(duì)于WindowsNT/2000/XP，在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon下新建值項(xiàng)。對(duì)于Windows 9x/Me，在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionWinlogon下新建值項(xiàng)。下表中詳細(xì)列出新建的值項(xiàng)。

(3)必須使用有效用戶注冊(cè)(適用于Windows 98)

在Windows 98中，當(dāng)出現(xiàn)輸入用戶名稱和密碼的畫面時(shí)，可以單擊'取消'按鈕，或者按下ESC鍵，跳過這一步直接進(jìn)入到Windows中。通過修改注冊(cè)表，可以禁止這種未授權(quán)的使用，而要求只有在Windows98中設(shè)置的用戶才可以進(jìn)入。

在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINENetworkLogon下，新建一個(gè)雙字節(jié)字值項(xiàng)MustBeValidated，修改其值為1。這樣，在下次啟動(dòng)時(shí)，必須輸入有效的用戶名和用戶密碼才可以進(jìn)入到Windows 98中。

注意:在Windows 98 SE中，該修改方式不適用。如果設(shè)置了該選項(xiàng)，Windows 98 SE將從域服務(wù)器上去驗(yàn)證該用戶，因?yàn)檎也坏接蚍?wù)器，因此無法正常登錄到Windows 98 SE中。

(4)啟動(dòng)時(shí)不要求輸入口令(適用于Windows 9x/Me)

Windows 9x/Me啟動(dòng)時(shí)往往要求輸入用戶名和口令。如果只是自己使用，雖然可以按ESC鍵或者'取消'按鈕跳過這一步，但還是挺麻煩。

在作此修改前請(qǐng)首先將網(wǎng)絡(luò)登錄方式改為Windows登錄:進(jìn)入控制面板中的網(wǎng)絡(luò)項(xiàng)，將'主網(wǎng)絡(luò)登錄'方式改為Windows登錄。

然后將默認(rèn)用戶的密碼改為空。將用戶的密碼設(shè)置為空可以采用如下方法:

方法1:通過修改注冊(cè)表來更換用戶名

在Windows 9x/Me中，上次使用者的用戶名存放在注冊(cè)表的HKEY_LOCAL_MACHINENetworkLogon下，名稱Username。我們可以將這個(gè)用戶名修改為一個(gè)新的用戶名。重新啟動(dòng)后，Windows會(huì)認(rèn)為該用戶是新的用戶，要求輸入用戶口令。不要輸入口令，直接按'確定'按鈕。這樣，在下次啟動(dòng)時(shí)，就不會(huì)要求輸入用戶名和口令。

方法2:刪除口令文件

進(jìn)入到C:windows目錄下。找到該用戶的口令文件。如用戶名稱為lijin，則口令文件為lijin.pwl。刪除該文件。重新啟動(dòng)Windows 9x，Windows 9x會(huì)認(rèn)為該用戶是新的用戶，要求輸入用戶口令。不要輸入口令，直接按'確定'按鈕。這樣，在下次啟動(dòng)時(shí)，就不會(huì)要求輸入用戶名和口令。

方法3:注冊(cè)新用戶

首先'開始'菜單中選擇'注銷'，在出現(xiàn)的注冊(cè)畫面中，使用新的用戶名，并且不輸入口令，直接按'確定'按鈕。Windows會(huì)自動(dòng)生成該用戶的信息。在下次啟動(dòng)時(shí)，系統(tǒng)會(huì)使用新的用戶注冊(cè)進(jìn)入Windows。

方法4:修改注冊(cè)表禁止使用口令文件

注冊(cè)表中的一個(gè)值項(xiàng)控制著是否使用口令文件(PWL文件)。如果禁止使用口令文件，則Windows啟動(dòng)時(shí)不會(huì)要求輸入口令。在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPolicIEsNetwork下，新建一個(gè)雙字節(jié)值項(xiàng)DisablePwdCaching，修改其值為1。重新啟動(dòng)Windows后，Windows將不會(huì)生成和使用口令文件。即使用戶設(shè)了口令，在Windows啟動(dòng)時(shí)，也不會(huì)要求輸入用戶口令。

提示:如果在注冊(cè)表中修改了此項(xiàng)，禁止了口令文件，并且登錄方式選擇的是'Microsoft網(wǎng)絡(luò)用戶'或者'Netware網(wǎng)絡(luò)用戶'，在Windows 9x/Me啟動(dòng)時(shí)，仍然會(huì)出現(xiàn)要求輸入用戶口令的畫面，不過即使輸入的用戶口令不對(duì)，也可以進(jìn)入Windows，只是不能注冊(cè)到'Microsoft網(wǎng)絡(luò)'或'Netware網(wǎng)絡(luò)'上。

方法5:強(qiáng)迫Windows啟動(dòng)時(shí)不進(jìn)行登錄 默認(rèn)情況下，只要安裝了網(wǎng)絡(luò)項(xiàng)，或者Windows口令非空，Windows啟動(dòng)時(shí)會(huì)出現(xiàn)登錄注冊(cè)的畫面，要求用戶進(jìn)行注冊(cè)進(jìn)入系統(tǒng)。在注冊(cè)表中有一個(gè)值項(xiàng)控制著系統(tǒng)啟動(dòng)時(shí)是否進(jìn)行登錄。在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionNetworkReal Mode Net下，新建一個(gè)雙字節(jié)值項(xiàng)autologon。修改其值為0。

提示:此方法對(duì)于Microsoft網(wǎng)絡(luò)用戶登錄、Netware網(wǎng)絡(luò)登錄和Windows登錄三種登錄方式都適用。

2.加快撥號(hào)上網(wǎng)的速度(適用于Windows 9x)

(1)去除不需要的協(xié)議和服務(wù)

選定一個(gè)撥號(hào)連接，單擊右鍵，可以看該撥號(hào)連接的屬性。通常通過撥號(hào)網(wǎng)絡(luò)建立一個(gè)連接后，該連接綁定了NetBEUI和IPX/SPX兼容協(xié)議，并且聯(lián)系著微軟網(wǎng)絡(luò)，如果該撥號(hào)連接只是為了上因特網(wǎng)，則可以將這些不必要的協(xié)議和服務(wù)去掉，只保留TCP/IP協(xié)議，以加快登錄速度和傳輸速度。

(2)增大串口緩沖和通信速度

在Windows目錄下找到System.ini文件并編輯它，在其[386Enh]這一行下面加入'COM2Buffer=1024'行。如果調(diào)制解調(diào)器不是安裝在串口2，而是安裝在串口1，則改為'Com1Buffer=1024'即可。

在Windows目錄下找到Win.ini文件并編輯它，在其[ports]部分找到'COM2:= 9600,n,8,1,x'行，修改為'COM2:=38400,n,8,1,x'。如果調(diào)制解調(diào)器不是安裝在串口2，而是安裝在串口1，則修改'COM1:=9600,n,8,1,x'行為'COM1:=38400,n,8,1,x'。

(3)增大接收緩沖區(qū)

設(shè)置調(diào)制解調(diào)器的屬性，將其接收緩沖區(qū)調(diào)到最大。

(4)增大系統(tǒng)的文件名和路徑的緩沖

在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionFS TemplatesDesktop下，新建兩個(gè)雙字節(jié)值項(xiàng)。一個(gè)是NameCache，定義了存放訪問過的文件名的緩沖，建議從32修改為128。一個(gè)是PathCache，定義了存放訪問過的文件的路徑的緩沖，建議從677修改為4096。

(5)調(diào)整撥號(hào)網(wǎng)絡(luò)適配器的TCP/IP參數(shù)

首先進(jìn)入到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINEEnumRootNet下。在該項(xiàng)下有形式為00xx的子項(xiàng)。進(jìn)入到各個(gè)00xx子項(xiàng)下，查找值項(xiàng)DeviceDesc是否為'撥號(hào)網(wǎng)絡(luò)適配器'。如果是，在該子項(xiàng)下還有一個(gè)Binding子項(xiàng)，進(jìn)入該子項(xiàng)，記下該子項(xiàng)下的MSTCP0xx的值。

按照上一步找到的MSTCP0xx值，進(jìn)入到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINEEnumNetworkMSTCP0xx下。記下其下值項(xiàng)Driver的值，形式為NetTrans/00xx。

按照上一步找到的NetTrans/00xx的值，進(jìn)入到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESystem CurrentControlSetServicesClassNetTrans0xx下。修改REG_SZ值項(xiàng)MaxMTU的值從1500到576，因?yàn)?500是針對(duì)局域網(wǎng)的，而576是Internet上的標(biāo)準(zhǔn)。修改REG_SZ值項(xiàng)MaxMSS的值為536。

(6)調(diào)整TCP/IP協(xié)議的參數(shù)

修改下列值項(xiàng)的值(字符串值)。這些值項(xiàng)位于注冊(cè)表項(xiàng)HKEY_LOCAL_MacHINESystemCurrentControlSetServicesVxDMSTCP下:

DefaultRcvWindow，其默認(rèn)值為8129，該值為接收緩沖區(qū)的大小，一般等于Modem的傳輸速度?？梢园慈缦滤惴ㄓ?jì)算.假設(shè)Modem速度為28.8K，則傳輸率為(不考慮數(shù)據(jù)壓縮)28800/9=3200?？紤]到DefaultRcvWindow應(yīng)該是MSS(一般值為536)的整數(shù)倍，則應(yīng)該取值為2680。不考慮Modem的數(shù)據(jù)壓縮，14.4K、28.8K、36.6K和56K應(yīng)該分別對(duì)應(yīng)于1072、2680、3752、5896。如果考慮到Modem的數(shù)據(jù)壓縮功能，可以再加大20%～50%，但注意，仍然應(yīng)該為MSS的整數(shù)倍。如果Modem速度快，因特網(wǎng)接入線路質(zhì)量好，可以再適當(dāng)?shù)募哟笤撝?。默認(rèn)值為8192。

DefaultTTL，其默認(rèn)值為32，該值為數(shù)據(jù)包可以在因特網(wǎng)上存活的時(shí)間。加大該值，有利于在繁忙的網(wǎng)絡(luò)中保持連接。默認(rèn)值為32，建議修改為255。

NameSrvQueryTimeout，其默認(rèn)值為750，該值為域名服務(wù)器查詢的超時(shí)時(shí)間。加大該值，有利于連接的建立。默認(rèn)值為750毫秒。建議修改為3000毫秒。

3.定制驅(qū)動(dòng)器的自動(dòng)播放功能(適用范圍:Windows 9x/Me/NT/2000/XP)

Windows提供了自動(dòng)播放功能。最常見的就是光盤驅(qū)動(dòng)器的自動(dòng)播放功能。當(dāng)我們將一張CD光盤放進(jìn)光盤驅(qū)動(dòng)器中，CD播放器就會(huì)自動(dòng)運(yùn)行起來，并開始播放該CD。或者在光盤驅(qū)動(dòng)器中放入一張數(shù)據(jù)盤，如果該光盤的根目錄下有一個(gè)Autorun.inf文件，這個(gè)Autorun.inf文件中定義的程序也會(huì)自動(dòng)地運(yùn)行起來。

(1)禁止光盤驅(qū)動(dòng)器的自動(dòng)播放功能

在注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom下有一個(gè)雙字節(jié)值項(xiàng)AutoRun，修改其值為0，重啟計(jì)算機(jī)。

(2)定制各個(gè)驅(qū)動(dòng)器的自動(dòng)播放

我們可以定制各個(gè)驅(qū)動(dòng)器的自動(dòng)播放。例如允許驅(qū)動(dòng)器E的自動(dòng)播放功能，而禁止其他驅(qū)動(dòng)器的自動(dòng)播放功能。

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPolicIEsExplorer下。如果想讓此修改應(yīng)用到所有的用戶，則應(yīng)該進(jìn)入到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrent VersionPolicies Explorer下。在該項(xiàng)下新建一個(gè)雙字節(jié)值項(xiàng)NoDriveAutoRun。

該值項(xiàng)的低26位分別代表從A到Z共26個(gè)驅(qū)動(dòng)器的自動(dòng)播放功能。如果該位為1，表示該位對(duì)應(yīng)的驅(qū)動(dòng)器的自動(dòng)播放功能被禁止，如果該位為0，則該位對(duì)應(yīng)的驅(qū)動(dòng)器的自動(dòng)播放功能被允許。例如我們只想禁止驅(qū)動(dòng)器C和D的自動(dòng)播放功能，對(duì)于其他驅(qū)動(dòng)器的自動(dòng)播放功能則想保留，那么我們需要修改NoDriveAutoRun的值為0x0000000c。修改后需要重新啟動(dòng)計(jì)算機(jī)。

(3)按驅(qū)動(dòng)器的類型進(jìn)行定制

除了按照驅(qū)動(dòng)器盤符來定制外，我們可以按照驅(qū)動(dòng)器的類型來定制各個(gè)驅(qū)動(dòng)器的自動(dòng)播放。

進(jìn)入到注冊(cè)表項(xiàng)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionPoliciesExplorer下。如果想讓此修改應(yīng)用到所有的用戶，則應(yīng)該進(jìn)入到注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrent VersionPolicies Explorer下。在該項(xiàng)下新建一個(gè)雙字節(jié)值項(xiàng)NoDriveTypeAutoRun。該值項(xiàng)只使用了最低位的字節(jié)。

這些位為0時(shí)，表示允許該種類的驅(qū)動(dòng)器的自動(dòng)運(yùn)行特性，為1時(shí)，表示禁止該種類驅(qū)動(dòng)器的自動(dòng)運(yùn)行特性。默認(rèn)值為0x95，即第0，2，4，7位為1，表示軟盤，網(wǎng)絡(luò)盤，未知類型盤的自動(dòng)運(yùn)行特性被禁止。修改后需要重新啟動(dòng)機(jī)器使改動(dòng)生效。