一.注册表优化
注册表的优化分为几点:
1.系统安装是产生的无用信息
(1) 删除多余的时区
路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones
删除除了China Standard Time中国时区以外的其他时区
(2)删除多余的语言
路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Locale
删除除了中文和英文(代码为0409和0804)以外的其他语言
(3)删除多余的键盘布局
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts
删除不需要的输入法
2.安装卸载程序后的无用信息
路径:计算机\HKEY_CURRENT_USER\Software和计算机\HKEY_LOCAL_MACHINE\SOFTWARE
删除其中卸载过的软件 例如:360,ludashi等
3.多余的DLL文件
路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
数值为0的删除即可
----------------------------------------------------------------------------------------------------
二.注册表的危险项(转载)
原文链接:https://blog.csdn.net/Simon798/article/details/96440375
1、Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
2、RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
3、RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4、RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
5、RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
(该键是Windows XP/2003特有的自启动注册表项)
6、UserInit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\UserInit
(合法值为:c:\windows\system32\userinit.exe)
7、load
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
8、镜像劫持
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
9、禁止任务栏、文件夹选项、注册表等
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit
10、禁止修改IE浏览器主页
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\control panel\homepage
值为1 表示禁止修改
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\main\Startpage
(以上适合win200 2003 xp)
vista 、win7 设置如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\Start Page
11、隐藏磁盘分区
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrivers
12、修改文件关联
HKEY_CLASSES_ROOT\textfile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\textfile\shell\open\command
13、SPI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
14、BHO
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
此键下是系统注册的所有BHO的CLSID
GUID(Global Unique Identifier) 也成为Class ID 简称CLSID
15、CLSID
HKEY_CLASSES_ROOT\CLSID
在此键下的ID 对应着系统里面的不同程序、组件
16、IE默认前缀
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
17、
HKEY_CURRENT_USER\Software\policies\Microsoft\internet explorer\MenuExt
IE网页右键菜单
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\Extension registry key
对应于IE工具栏上的按钮或者在IE的工具菜单中非默认安装的项目
18、IE高级选项?
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\AdvancedOptions
对应于IE选项高级选项卡下面的项目
19、IE扩展
HKEY_LOCAL_MACHINE\Software\policies\Microsoft\internet explorer\Plugins
20、IE默认设置
c:\windows\inf\iereset.inf(IE默认配置信息)
21、IE可信区域
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domain
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Ranges
IE授权区域与识别码对应关系
区域 区域映射
My Computer 0
Intranet 1
Trusted 2Internet 3
Restricted 4
=======================================================================
协议与授权区域的对应关系
HTTP 3
HTTPS 3
FTP 3
@vit 1
shell 0
=========================================================================
对应的注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ProtocolDefaults
22、域名劫持
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\tcpip\Parameters\Interfaces\{0F3EE3DD-D14D-4925-8671-87F4D7244B91}\NameServer
HKEY_LOCAL_MACHINE\Software\Class\PROTOCOLS
额外的协议和协议劫持,黑客通过将我们计算机使用的标准的协议驱动更改为劫持程序所提供的驱动来实现
23、用户样式表劫持
键值: HKEY_CURRENT_USER\Software\Microsoft\internet explorer\Style\User Stylesheets
24、AppInit_DLLs注册表值自启动载入
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows\AppInit_DLLs
user32.dll能够被许多进程或是程序使用,也包括一些自启动进程,AppInit_DLLs注册表值包含了当user32.dll被载入时将会被载入的一连串动态链接库
25、Winlogon Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
26、自动载入
ShellServiceObjectDelayLoad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
ShellServiceObjectDelayLoad键值下面的文件会被计算机外壳程序Explorer.exe自动载入
ShellServiceObjectDelayLoad下面的键值指向的是CLSID
SharedTaskScheduler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
随windows启动而被载入
服务
服务时windows启动的时候自动载入的程序,这些服务程序无论是否有使用者登录到计算机都会被载入,而且常用于处理系统任务
删除服务
(1)命令行命令sc dete servername
(2)注册表删除
Windows Registry Editor Version 5.00
[- ........] 保存为reg文件,导入注册表即可删除该项
删除键值
[..........]
"键值名"=-
导入即可
(3)相关的服务删除工具
27、IE收藏夹、IE浏览历史、cookies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
28、禁止C$、D$、ADMIN$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的 窗口中新建Dword值,名称设为
AutoShareServer值设为0
新建Dword值AutoShareWks 0(xp win7 vista)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本// AutoShareServer 对server版本// 0
禁止管理共享admin$,c$,d$之类默认共享
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动
29、隐藏重要文件/目录
可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Fol der\Hi-ddenSHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
30、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD 值,名为SynAttackProtect,值为2
31、禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0
32、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0
33、不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值,名为IGMPLevel 值为0
34、终端服务的默认端口为3389,可考虑修改为别的端口。
修改方法为: 服务器端:打开注册表,在 “HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键,修改PortNumber值。 客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会 生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
35、修改系统默认日志存储位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
日志文件大小限制
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\****\MaxSize
更换日志存储位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\****\File
36、Schedluler(任务计划)服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
37、禁止建立空连接(对匿名连接的限制):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous 设置为1
38、wins客户端启用wins代理
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters
EnableProxy 类型DWORD
39、微软office软件相关选项
HKEY_CURRENT_USER\Software\Microsoft\office
40、tcp半连接数
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
---可以定义TCP半连接数的大小(适用于win2000系统)
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableConnectionRateLimiting
若无EnableConnectionRateLimiting键值表示你的系统没有tcp/ip连接限制,如有且值为0也表示你的系统没有tcp/ip
连接限制,值为1表示受tcp/ip连接限制,将其修改为0即可取消限制。(适用于vista sp2 和win7)
41、TCP连接延迟
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpTimedWaitDelay
TcpTimedWaitDelay默认是1e(30秒)(win7及其2008)
42、tcp用户最大使用端口
HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MaxUserPort
43、关闭无效网关的检查
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect"=dword:00000000
(2000、xp)
44、不允许释放NETBIOS名
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"NonameReleaseOnDemand"=dword:00000001
(2000sp2、xp)
45、禁止Guest账户访问日志
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
将其3个子键Application、Security、System 下面的RestrictGuestAccess值改为1
46、禁止显示上一次登陆的用户名
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon
修改Dontdisplaylastusername为1
47、禁用文件名创建
取消windows server2008和windows server2003为兼容以前微软文件名命名方式带来的性能损失
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem
设置NtfsDisable8dot3NameCreation为1
当然这个键项下面还有其他一些关于文件系统方面的设置,如是否加密,扩展名等
48、取消因为使用例如DOS、Win16、0S/2、Posix应用系统下面的程序子系统可能带来的隐患
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems
将Optional改为0000
删除OS2、posix项
同时找到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW 删除其下的子键
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
删除其下的OS2libpath项
找到HKEY_LOCAL_MACHINE\software\Microsoft\os /2 Subsystem for nt 删除其下所有子键
49、不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改IGMPLevel 为0(50)修改终端服务的默认端口
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
修改PortNumber为变更后的值
同时找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
修改PortNumber为变更后的值要记得和上面一样
50、防护系统不受一定拒绝服务的攻击
防止受SYN泛滥攻击
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
添加
DWORD值
SynAttackProtect为2
Tcpmaxhalfopen值为100
Tcpmaxhalfopenedretried的值为80
Tcpmaxportsexhausted为5
51、加强防备拒绝服务攻击
终止半开放的TCP连接数,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
条件DWORD Tcpmaxconnectresponseretransmission为3
52、TCP空链接计时器
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
添加DWORD Keepalivetime为300000,计数单位为毫秒,即为5分钟
53、不轻易改变MTU的值
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
设置DWORD :EnablePMTUDiscovery为0
54、禁止IP路由
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改DWORD :IPEnableRouter为0
55、禁止光盘自动启动
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\polices\Explorer
设置Nodrivetypeautorun为149
56、只有本地用户才可以访问软盘
找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改allocatefloppyes为1
57、只允许本地用户可以访问光盘
找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改AllocateCDRoms为1
58、关机时清除页面文件
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
修改DWORD :ClearPageFileAtShutdown为1
59、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Seting\MaxConnectionPerServer ======IE每一个服务连接数
60、完全禁止系统模认工享
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}]
61、
3389替换服务-----------------------
中修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
c:\winnt\system32\copy termsrv.exe service.exe
c:\winnt\system32\cd..
c:\winnt\sc \\127.0.0.1 config Alerter binpath= c:\winnt\system32\service.exe
62、
现在很多优化软件都有“已安装软件检测”和“软件卸载”的功能,比Windows自带的“添加或删除程序”功能要强大,其实就是扫描了下面的注册表项,有兴趣的网友可以分别展开来研究一下。
HKEY_CLASSES_ROOT\Installer\Products
HKEY_CURRENT_USER\Software\Microsoft\Installer\Products
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
63、
让注册表编辑器失忆:先找到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
然后右键单击Regedit,选择权限->Administrator,勾选上“拒绝”,如图所示,最后确定。
64、windows 文件保护
-描述
路径:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:SFCDisable
windows文件保护功能
-目前异常状况
注册表键值为空
-正常时
注册表键值为00000000
65、安全中心
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
66、右键扩展
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
-------------------------------------------------------------------------------------------------------
三.注册表安全配置
1.运行注册表的限制
保护注册表的最好方法就是让恶意用户根本无法访问注册表,进行管理员权限设置。
2.对注册表键的访问权限
禁止远程访问注册表,开始-运行-输入services.msc-找到Remote Registry服务项-双击停止-启动类型设为禁止即可
3.经常备份注册表
一般情况下,下载或卸载一个软件,清理注册表之后,备份一次注册表
注册表右键导出即可,建议备份到其他机器上
四.注册表总结
注册表作为Windows系统的中心资料库,其重要性大家都知道了。强大的功能在带来方便的同时也可能被不良分子用来进行破坏
有效的优化注册表可以让机器变快,定时查看注册表的危险项可以很好的预防风险。
![[转]IBinder对象在进程间传递的形式](https://img-blog.csdnimg.cn/20181130165227160.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1FXRTEyM1pYQ1o=,size_16,color_FFFFFF,t_70)
