实训2-5修改注册表实现网络安全

第2章操作系统安全实训2-5：修改注册表实现网络安全（学时）本次课要点学习目标重点难点实训目的理解注册表的作用掌握注册表的配置方法掌握通过修改注册表防止部分潜在威胁实训背景计算机上所有针对硬件、软件、网络的操作都是源于注册表的。由于注册表是操作系统核心，因此一旦Windows注册表损坏或被病的恶意修改，则会造成文件不能打开，某些功能操作不能进行。而且不少流行的网络病毒一旦启动后，会自动在计算机系统的注册表启动项中遗留有修复选项，待系统重新启动后这些病毒就能恢复到修改前的状态了，很难被根本清除。为了保证服务器能够正常运行，网络管理员需要对服务器的注册表进行配置，阻止黑客通过注册表的漏洞进行网络攻击。实训设备设备数量服务器（安装windows2000/2003操作系统）1台实训步骤1.在运行窗口中输入regdit命令2.单击按钮，进入“注册表编辑器”窗口3.隐藏重要文件/目录可以修改注册表实现完全隐藏4.防止SYN洪水攻击5.禁止响应ICMP路由通告报文6.防止ICMP重定向报文的攻击7.不支持IGMP协议8.禁止IPC空连接9.更改TTL值10.删除默认共享确定1.在运行窗口中输入regdit命令1.在运行窗口中输入regdit命令在运行窗口中输入regdit命令，如所示。2.单击按钮，进入“注册表编辑器”窗口确定2.单击按钮，进入“注册表编辑器”窗口单击按钮，进入“注册表编辑器”窗口，如所示。确定确定3.隐藏重要文件/目录可以修改注册表实现完全隐藏3.隐藏重要文件/目录可以修改注册表实现完全隐藏（1）选择下面注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Ad¬vanced\Folder\Hi-dden\SHOWALL”（2）修改注册表值CheckedValue注册表值的数据值名类型数据CheckedValueDWORD0CheckedValue注册表值的数据3.隐藏重要文件/目录可以修改注册表实现完全隐藏（3）测试配置①修改后在系统中将任意一个文件设置为隐藏文件，刷新之后该文件不会显示。②选择“我的电脑”中的【工具】【文件夹选项】菜单，在打开的窗口中选择“查看”标签，选择，如所示，单击按钮关闭窗口。关闭3.隐藏重要文件/目录可以修改注册表实现完全隐藏③隐藏文件仍然不会显示，重新进入“文件夹选项”窗口，选择“查看”标签，如所示，会发现设置没有生效。3.隐藏重要文件/目录可以修改注册表实现完全隐藏（4）修改注册表值CheckedValue注册表值的数据再次进入“文件夹选项”窗口，进行设置便可以看到C盘下的系统文件和隐藏文件。值名类型数据CheckedValueDWORD14.防止SYN洪水攻击4.防止SYN洪水攻击（1）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters（2）新建注册表值SynAttackProtect注册表值的数据值名类型数据SynAttackProtectDWORD2EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD04.防止SYN洪水攻击（3）说明SYN攻击保护包括减少SYN-ACK重新传输次数，以减少分配资源所保留的时间。路由缓存项资源分配延迟，直到建立连接为止，如果synattackprotect=2,，则AFD的连接指示一直延迟到三路握手完成为止。注意，仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时，保护机制才会采取措施。5.禁止响应ICMP路由通告报文5.禁止响应ICMP路由通告报文（1）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter¬faces\interface（2）新建注册表值PerformRouterDiscovery注册表值的数据值名类型数据PerformRouterDiscoveryDWORD05.禁止响应ICMP路由通告报文（3）说明该功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积，长时间的网络异常，因此建议关闭响应ICMP路由通告报文。Win2000中默认值为2，表示当DHCP发送路由器发现选项时启用。6.防止ICMP重定向报文的攻击6.防止ICMP重定向报文的攻击（1）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters（2）修改注册表值“EnableICMPRedirects”注册表值的数据说明:该参数控制Windows2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息，有时会被利用来干坏事。Win2000中默认值为1，表示响应ICMP重定向报文。值名数据EnableICMPRedirects07.不支持IGMP协议7.不支持IGMP协议（1）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters（2）新建注册表值IGMPLevel注册表值的数据说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用routeprint将看不到那个讨厌的224.0.0.0项了.值名类型数据IGMPLevelDWORD08.禁止IPC空连接8.禁止IPC空连接黑客可以利用netuse命令建立空连接，进而入侵，还有netview，nbtstat这些都是基于空连接的，禁止空连接就好了。只要目标系统的TCP端口139或445是打开的，就可以正常的获取用户信息，尽管RestrictAnonymous可能设置为11.关闭139端口：139端口是NetBIOSSession端口，用于文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。8.禁止IPC空连接2.关闭445端口：修改注册表，添加一个键值[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]SMBDeviceEnabled=dword:00000000（1）选择下面注册表项Local_Machine\System\CurrentControlSet\Control\Lsa8.禁止IPC空连接（2）修改注册表值RestrictAnonymous注册表值的数据命令“netuse\\IP\ipc$/user:”就可以简单地和目标建立一个空连接。值名数据RestrictAnonymous08.禁止IPC空连接（3）修改注册表值RestrictAnonymous注册表值的数据输入命令“netuse\\IP\ipc$/user:”不能和目标建立一个空连接。值名数据RestrictAnonymous19.更改TTL值9.更改TTL值黑客可以根据ping回的TTL值来大致判断你的操作系统，如表所示。操作系统TTL值列表TTL值系统TTL值系统TTL值系统107WINNT127或128win9x252solaris108win2000240或241linux240Irix9.更改TTL值（1）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameter（2）修改注册表值（3）测试在命令窗口ping该计算机，会发现TTL值发生变化。值名数据DefaultTTL10010.删除默认共享10.删除默认共享有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，（1）测试在命令窗口下输入“netshare”命令会发现默认共享。（2）选择下面注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters10.删除默认共享（3）新建注册表值（4）测试在命令窗口下输入“netshare”命令不会发现默认共享值名类型数据AutoShareServerDWORD0