windows安全必须关注的注册表键值

(1)Run
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
  
  
(2)RunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
  
(3)RunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  
(4)RunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
  
(5)RunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx
(该键是Windows XP/2003特有的自启动注册表项)
(6)UserInit
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserInit
（合法值为：c:windowssystem32userinit.exe）
  
(7)load
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
  
(8)镜像劫持
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionImage File Execution Options
  
(9)禁止任务栏、文件夹选项、注册表等
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegedit
  
(10)禁止修改IE浏览器主页
HKEY_CURRENT_USERSoftwarepoliciesMicrosoftinternet explorercontrol panelhomepage
值为1 表示禁止修改
HKEY_CURRENT_USERSoftwarepoliciesMicrosoftinternet explorermainStartpage
(以上适合win200 2003 xp)
  
vista 、win7 设置如下：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMAINStart Page
  
  
(11)隐藏磁盘分区
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDrivers
  
  
(12)修改文件关联
HKEY_CLASSES_ROOTtextfileshellopencommand
HKEY_LOCAL_MACHINESoftwareCLASSEStextfileshellopencommand
  
(13)SPI
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries
  
(14)BHO
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
此键下是系统注册的所有BHO的CLSID
GUID(Global Unique Identifier) 也成为Class ID 简称CLSID
  
(15)CLSID
HKEY_CLASSES_ROOTCLSID
在此键下的ID 对应着系统里面的不同程序、组件
  
（16）IE默认前缀
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionURLDefaultPrefix
  
（17）
HKEY_CURRENT_USERSoftwarepoliciesMicrosoftinternet explorerMenuExt
IE网页右键菜单
HKEY_LOCAL_MACHINESoftwarepoliciesMicrosoftinternet explorerExtension registry key
对应于IE工具栏上的按钮或者在IE的工具菜单中非默认安装的项目
  
（18）IE高级选项?
HKEY_LOCAL_MACHINESoftwarepoliciesMicrosoftinternet explorerAdvancedOptions
对应于IE选项高级选项卡下面的项目
  
（19）IE扩展
HKEY_LOCAL_MACHINESoftwarepoliciesMicrosoftinternet explorerPlugins
  
（20）IE默认设置
c:windowsinfiereset.inf(IE默认配置信息)
  
(21)IE可信区域
  
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapDomains
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapDomain
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapRanges
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapRanges
  
  
IE授权区域与识别码对应关系
  
区域                                  区域映射
My Computer                           0
  
Intranet                              1
  
Trusted                               2Internet                              3
  
Restricted                            4
  
  
=======================================================================
  
  
协议与授权区域的对应关系
  
HTTP                                  3
  
HTTPS                                 3
  
FTP                                   3
  
@vit                                  1
  
shell                                 0
  
=========================================================================
  
对应的注册表键值：
  
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapProtocolDefaults
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternetSettingsZoneMapProtocolDefaults
  
  
  
(22)域名劫持
HKEY_LOCAL_MACHINESystemCurrentControlSetservicestcpipParametersInterfaces{0F3EE3DD-D14D-4925-8671-87F4D7244B91}NameServer
  
HKEY_LOCAL_MACHINESoftwareClassPROTOCOLS
额外的协议和协议劫持，黑客通过将我们计算机使用的标准的协议驱动更改为劫持程序所提供的驱动来实现
  
（23）用户样式表劫持
键值：
HKEY_CURRENT_USERSoftwareMicrosoftinternet explorerStyleUser Stylesheets
  
(24)AppInit_DLLs注册表值自启动载入
  
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs
  
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingwin.iniWindowsAppInit_DLLs
  
user32.dll能够被许多进程或是程序使用，也包括一些自启动进程，AppInit_DLLs注册表值包含了当user32.dll被载入时将会被载入的一连串动态链接库
  
（25）Winlogon Notify
  
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
  
  
(26)ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
  
ShellServiceObjectDelayLoad键值下面的文件会被计算机外壳程序Explorer.exe自动载入
ShellServiceObjectDelayLoad下面的键值指向的是CLSID
  
（26）SharedTaskScheduler
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
随windows启动而被载入
  
（26）服务
服务时windows启动的时候自动载入的程序，这些服务程序无论是否有使用者登录到计算机都会被载入，而且常用于处理系统任务
  
删除服务
  
1、命令行命令sc dete servername
  
2、注册表删除
Windows Registry Editor Version 5.00
[- ........] 保存为reg文件，导入注册表即可删除该项
  
删除键值
  
[..........]
"键值名"=-
导入即可
  
3、相关的服务删除工具
  
(27)IE收藏夹、IE浏览历史、cookies
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders
  
(28)禁止C$、D$、ADMIN$一类的缺省共享
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为
AutoShareServer值设为0
新建Dword值AutoShareWks 0（xp win7 vista）
  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本// AutoShareServer 对server版本// 0
  
禁止管理共享admin$,c$,d$之类默认共享
  
[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动
  
  
(29)隐藏重要文件/目录
可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0
  
(30)防止SYN洪水攻击
  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建Dword 值，名为SynAttackProtect，值为2
  
(31) 禁止响应ICMP路由通告报文
  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建Dword值，名为PerformRouterDiscovery 值为0
  
(32)防止ICMP重定向报文的攻击
  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0
  
(33)不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建Dword 值，名为IGMPLevel 值为0
  
  
(34)终端服务的默认端口为3389，可考虑修改为别的端口。
修改方法为： 服务器端：打开注册表，在 “HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件(方法：菜单→文件→导入)，这样客户端就修改了端口。
  
  
(35)修改系统默认日志存储位置
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog
日志文件大小限制
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog****MaxSize
更换日志存储位置  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog****File
  
（36）Schedluler(任务计划)服务
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent
  
（37）禁止建立空连接(对匿名连接的限制)：
  
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous 设置为1
  
(38)wins客户端启用wins代理
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters
  
EnableProxy 类型Dword
  
(39)
HKEY_CURRENT_USERSoftwareMicrosoftoffice
微软office软件相关选项
  
(40)tcp半连接数
  
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParametersTcpMaxHalfOpenRetried
---可以定义TCP半连接数的大小（适用于win2000系统）
  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableConnectionRateLimiting
若无EnableConnectionRateLimiting键值表示你的系统没有tcp/ip连接限制，如有且值为0也表示你的系统没有tcp/ip
连接限制，值为1表示受tcp/ip连接限制，将其修改为0即可取消限制。(适用于vista sp2 和win7)
  
（4
  
1）TCP连接延迟
  
  
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpTimedWaitDelay
  
TcpTimedWaitDelay默认是1e（30秒）（win7及其2008）
  
(42)tcp用户最大使用端口
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersMaxUserPort
  
(43)关闭无效网关的检查
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableDeadGWDetect"=dword:00000000
(2000、xp)
（44）不允许释放NETBios名
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters"NonameReleaSEOnDemand"=dword:00000001
(2000sp2、xp)
  
（45）禁止Guest账户访问日志
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlog
将其3个子键Application、Security、System 下面的RestrictGuestAccess值改为1
（46）禁止显示上一次登陆的用户名
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionwinlogon
修改Dontdisplaylastusername为1
（47）禁用文件名创建
取消windows server2008和windows server2003为兼容以前微软文件名命名方式带来的性能损失
HKEY_LOCAL_MACHINESystemCurrentControlSetControlFileSystem
设置NtfsDisable8dot3NameCreation为1
当然这个键项下面还有其他一些关于文件系统方面的设置，如是否加密，扩展名等
（48）取消因为使用例如DOS、Win16、0S/2、Posix应用系统下面的程序子系统可能带来的隐患
HKEY_LOCAL_MACHINESystemCurrentControlSetControlSession ManagerSubSystems
将Optional改为0000
删除OS2、posix项
同时找到：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlWOW 删除其下的子键
  
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironment
删除其下的OS2libpath项
  
找到HKEY_LOCAL_MACHINEsoftwareMicrosoftos /2 Subsystem for nt 删除其下所有子键
（49）不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
修改IGMPLevel 为0（50）修改终端服务的默认端口
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
修改PortNumber为变更后的值
同时找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
修改PortNumber为变更后的值要记得和上面一样
  
  
（50）防护系统不受一定拒绝服务的攻击
防止受SYN泛滥攻击
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
添加
Dword值
SynAttackProtect为2
Tcpmaxhalfopen值为100
Tcpmaxhalfopenedretried的值为80
Tcpmaxportsexhausted为5
  
（51）加强防备拒绝服务攻击
终止半开放的TCP连接数，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
条件Dword Tcpmaxconnectresponseretransmission为3
  
（52）TCP空链接计时器
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
添加Dword Keepalivetime为300000，计数单位为毫秒，即为5分钟
（53）不轻易改变MTU的值
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
设置Dword :EnablePMTUDiscovery为0
  
（54）禁止IP路由
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
修改Dword :IPEnableRouter为0
  
(55)禁止光盘自动启动
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionpolicesExplorer
设置Nodrivetypeautorun为149
  
（56）只有本地用户才可以访问软盘
  
找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
修改allocatefloppyes为1
  
（57）只允许本地用户可以访问光盘
  
找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
修改AllocateCDRoms为1
  
（58）关机时清除页面文件
  
找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerMemory Management
修改Dword :ClearPageFileAtShutdown为1
  
(59)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SetingMaxConnectionPerServer   ======IE每一个服务连接数
  
(60)
  
完全禁止系统模认工享
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerMyComputerNameSpaceDelegateFolders{59031a47-3f72-44a7-89c5-5595fe6b30ee}]
  
(61)
  
3389替换服务-----------------------
中修改[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService]
c:winntsystem32copy termsrv.exe service.exe
c:winntsystem32cd..
c:winntsc \127.0.0.1 config Alerter binpath= c:winntsystem32service.exe
  
(62)、
现在很多优化软件都有“已安装软件检测”和“软件卸载”的功能，比Windows自带的“添加或删除程序”功能要强大，其实就是扫描了下面的注册表项，有兴趣的网友可以分别展开来研究一下。
HKEY_CLASSES_ROOTInstallerProducts
HKEY_CURRENT_USERSoftwareMicrosoftInstallerProducts
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall
  
(63)、
让注册表编辑器失忆：先找到
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionAppletsRegedit
然后右键单击Regedit，选择权限->Administrator，勾选上“拒绝”，如图所示，最后确定。
  
(64)、
windows 文件保护
－描述
路径：SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon:SFCDisable
windows文件保护功能
  
－目前异常状况
注册表键值为空
  
－正常时
注册表键值为00000000
  
(65) 安全中心
  
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center
  
(66) 右键扩展
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShell Extensions