《实训2-5:修改注册表实现网络安全》由会员分享,可在线阅读,更多相关《实训2-5:修改注册表实现网络安全(37页珍藏版)》请在金锄头文库上搜索。
1、第2章 操作系统安全 实训2-5:修改注册表实现网络安全(学时),本次课要点,学习目标重点难点,实训目的,理解注册表的作用掌握注册表的配置方法掌握通过修改注册表防止部分潜在威胁,实训背景,计算机上所有针对硬件、软件、网络的操作都是源于注册表的。由于注册表是操作系统核心,因此一旦Windows注册表损坏或被病的恶意修改,则会造成文件不能打开,某些功能操作不能进行。而且不少流行的网络病毒一旦启动后,会自动在计算机系统的注册表启动项中遗留有修复选项,待系统重新启动后这些病毒就能恢复到修改前的状态了,很难被根本清除。 为了保证服务器能够正常运行,网络管理员需要对服务器的注册表进行配置,阻止黑客通过注册
2、表的漏洞进行网络攻击。,实训设备,实训步骤,1.在运行窗口中输入regdit命令2.单击 按钮,进入“注册表编辑器”窗口3.隐藏重要文件/目录可以修改注册表实现完全隐藏4.防止SYN洪水攻击5.禁止响应ICMP路由通告报文6.防止ICMP重定向报文的攻击7.不支持IGMP协议8.禁止IPC空连接9.更改TTL值10.删除默认共享,1.在运行窗口中输入regdit命令,1.在运行窗口中输入regdit命令,在运行窗口中输入regdit命令,如所示。,2.单击 按钮,进入“注册表编辑器”窗口,2.单击 按钮,进入“注册表编辑器”窗口,单击 按钮,进入“注册表编辑器”窗口,如所示。,3.隐藏重要文件
3、/目录可以修改注册表实现完全隐藏,3.隐藏重要文件/目录可以修改注册表实现完全隐藏,(1)选择下面注册表项“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”(2)修改注册表值CheckedValue注册表值的数据,CheckedValue注册表值的数据,3.隐藏重要文件/目录可以修改注册表实现完全隐藏,(3)测试配置修改后在系统中将任意一个文件设置为隐藏文件,刷新之后该文件不会显示。选择“我的电脑”中的【工具】【文件夹选项】菜单,在打开的窗口中选择“查看”
4、标签,选择 ,如所示,单击 按钮关闭窗口。,3.隐藏重要文件/目录可以修改注册表实现完全隐藏,隐藏文件仍然不会显示,重新进入“文件夹选项”窗口,选择“查看”标签,如所示,会发现设置没有生效。,3.隐藏重要文件/目录可以修改注册表实现完全隐藏,(4)修改注册表值CheckedValue注册表值的数据再次进入“文件夹选项”窗口,进行设置便可以看到C盘下的系统文件和隐藏文件。,4.防止SYN洪水攻击,4.防止SYN洪水攻击,(1)选择下面注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters(2)新建注册表值 SynA
5、ttackProtect 注册表值的数据,4.防止SYN洪水攻击,(3)说明 SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止,如果synattackprotect=2,,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。,5.禁止响应ICMP路由通告报文,5.禁止响应ICMP路由通告报文,(1)选择下面注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesT
6、cpipParametersInterfacesinterface(2)新建注册表值PerformRouterDiscovery注册表值的数据,5.禁止响应ICMP路由通告报文,(3)说明 该功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积,长时间的网络异常,因此建议关闭响应ICMP路由通告报文。Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用。,6.防止ICMP重定向报文的攻击,6.防止ICMP重定向报文的攻击,(1)选择下面注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControl
7、SetServicesTcpipParameters(2)修改注册表值“EnableICMPRedirects”注册表值的数据说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事。Win2000中默认值为1,表示响应ICMP重定向报文。,7.不支持IGMP协议,7.不支持IGMP协议,(1)选择下面注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters(2)新建注册表值IGMPLevel注册表值的数据说明:记得Win9x下有个bug
8、,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用 route print将看不到那个讨厌的224.0.0.0项了.,8.禁止IPC空连接,8.禁止IPC空连接,黑客可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。只要目标系统的TCP端口139或445是打开的,就可以正常的获取用户信息,尽管RestrictAnonymous可能设置为11.关闭139端口:139端口是NetBIOS Session端口,用于文件和打印共享
9、,注意的是运行samba的unix机器也开放了139端口,功能一样。关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。,8.禁止IPC空连接,2.关闭445端口:修改注册表,添加一个键值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters SMBDeviceEnabled=dword:00000000 (1)选择下面注册表项Local_Machin
10、eSystemCurrentControlSetControlLsa,8.禁止IPC空连接,(2)修改注册表值 RestrictAnonymous注册表值的数据命令“net use IPipc$ /user:”就可以简单地和目标建立一个空连接。,8.禁止IPC空连接,(3)修改注册表值 RestrictAnonymous注册表值的数据输入命令“net use IPipc$ /user:” 不能和目标建立一个空连接。,9.更改TTL值,9.更改TTL值,黑客可以根据ping回的TTL值来大致判断你的操作系统,如表所示。操作系统TTL值列表,9.更改TTL值,(1)选择下面注册表项HKEY_LOC
11、AL_MACHINESYSTEMCurrentControlSetServicesTcpipParameter(2)修改注册表值(3)测试在命令窗口ping该计算机,会发现TTL值发生变化。,10.删除默认共享,10.删除默认共享,有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,(1)测试在命令窗口下输入“net share”命令会发现默认共享。(2)选择下面注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,10.删除默认共享,(3)新建注册表值(4)测试在命令窗口下输入“net share”命令不会发现默认共享,Thank You !,
