服务器注册表的决斗之九阳真经篇[下]

    本期我们继续介绍“服务器注册表决斗之九阳真经”的下半部分内容（上半部分请点击这里查看）。这四个方法是提高服务器安全的高级手段，所以对于有一定水平的网络管理员来说务必掌握。

    第五招儿：防DDOS也用注册表

    对于网管员管理的服务器来说，受到DDOS攻击是最大的危害。在没有硬件设备为服务器保驾护航的情况下，网络管理员只能尽自己所能将危害降低到最小。这时注册表就可以出来帮忙了。本篇文章为你介绍的就是用注册表防DDOS的方法——增加SYN缓存法。

    修改SYN缓存大小是通过注册表的相关键值完成的，在WINDOWS2003和2000中的修改方法略有不同，我们分别介绍。

    （1）WIN2003下拒绝访问攻击的防范：

    第一步：“开始->运行->输入regedit”进入注册表编辑器。
    第二步：找到HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

    小提示：该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

    第三步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

    第四步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

    第五步：将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
设置为1。

    （2）WIN2000下拒绝访问攻击的防范：

    在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做录虻ソ樯堋?BR>    第一步：将SynAttackProtect设置为2。
    第二步：将EnableDeadGWDetect设置为0。
    第三步：将EnablePMTUDiscovery设置为0。
    第四步：将KeepAliveTime设置为300000。
    第五步：将NoNameReleaseOnDemand设置为1。

    在Windows2003系统中每次关机都需要填写一个关机原因，本来简单的关机操作变得复杂了很多，很多人都希望取消这个操作。我们可以按照下面的步骤解决这个问题。

    第一步：在桌面上建立一个文本文件，例如起名为softer.txt。
    第二步：将以下内容填写到该批处理文件中：

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Reliability]
"ShutdownReasonOn"=dword:00000000
"ShutdownReasonUI"=dword:00000000 
    第三步：将该文件另存为softer.reg注册表文件，并双击该文件导入注册表，这样关机时间跟踪就被我们轻松取消了。

    但是在我们非法关机后进入系统时还会出现一个非法关机的事件填写窗口。我们同样可以通过编辑注册表文件的方法解决这个问题，注册表文件内容如下：

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system]
"disablecad"=dword:00000001

    当然如果不想通过注册表导入的方法还可以通过组策略对该信息进行设置。方法为通过任务栏的“开始->运行->gpedit.msc启动组策略->计算机配置->管理模板->系统->显示关机事件跟踪->禁用即可。

    如果我们将注册表进行锁定的话那么即使黑客具有了管理员帐户的权限也不能随便修改注册表键值了。无形中安全得到了大大的提高。

    第一步：通过任务栏的“开始->运行”，输入regedit进入注册表编辑器。

    第二步：找到
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下的DWORD值“DisableRegistryTools”，将其从0修改为“1”这样就可以锁定注册表了。

    第三步：如果你希望解锁的话只需要把上面的键值从1修改回0即可。当然需要通过双击编辑好的“解锁”注册表文件来实现。

    服务器中总会存储有必要的文件，如果服务器自身被黑客攻击的话，最大限度的隐藏这些文件就成为了关键步骤。虽然我们可以通过将文件属性设置为隐藏来将重要文件保密，不过众所周知，通过单击“查看”菜单中的“文件夹选项”命令，然后在“查看”标签项中选择“显示所有文件”，这样你的隐藏文件就全部曝光了。

    其实我们可以通过注册表来解决隐藏文件的难题。

    第一步：通过任务栏的“开始->运行”，输入regedit进入注册表编辑器。

    第二步：展开HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\
CurrentVersion\\explorer\\Advanced\\Folder\\Hidden\\SHOWALL，找到CheckedValue键值项，将它的键值修改为“0”，如果没有该健值的话，可以自己新建一个名为“CheckedValue”的“DWORD值”，然后将其值修改为“0”即可。（如图1）

图1 点击看大图

    第三步：退出注册表编辑器，重新启动计算机，接下来你就发现设置为“隐藏”属性的文件可以彻底隐身了，即使是在“文件夹选项”窗口中选择“显示所有文件”隐藏的文件也不会露出来了。

    如果服务器放在机房被外人通过U盘或移动硬盘将数据带走怎么办？恐怕很多网络管理员都希望禁止服务器上的USB接口。使用了很多软件都不能彻底解决这个问题，要嘛有时间限制，要嘛还要安装软件非常麻烦。其实我们通过注册表就可以轻松解决这个问题。

    第一步：通过任务栏的“开始->运行”，输入regedit进入注册表编辑器。

    第二步：找到并单击下面的注册表项：
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\UsbStor

    第三步：在右窗格中，双击“Start”。在“数值数据”框中，键入 4，单击“十六进制”，然后单击“确定”。（如图2）

图2 点击看大图

    第四步：退出“注册表编辑器”后当用户将 USB 存储设备连接到计算机时，该设备将无法运行。

    总结：以上介绍的九大方法各负其责，涉及的领域都不相同。只有通过这九大设置才能在多个方面提高服务器的安全，将服务器打造成病毒与黑客无法入侵的安全堡垒，在网络安全频频出现危机的今天保证服务器从“九死”中获得“一生”。<