修改注册表加强Win2000安全

Windows注册表有很多的学问，通过修改注册表可以加强系统的安全性，下面我们就介绍一些设置。
A%x ?Y8nj1{0
Y+WhtH9o!S0　　1)设置生存时间
yuq8S;v P%T0MD0
"d@m&?k*v%c0　　HKEY_LOCAL_MACHINE\SYSTEM\
Op`K?3ok.a,Z0电脑爱好者网\w.X'o*N)UB
　　CurrentControlSet\Services\Tcpip\Parameters 电脑爱好者网'}B!N$l:I
电脑爱好者网-V'AOg-k)~w[Y
　　DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 电脑爱好者网t%`D9d Q;?

8z)]%QUO-Ms}b0　　说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由 器数量.有时利用此数值来探测远程主机操作系统。 电脑爱好者网*vDv\E z
电脑爱好者网
]w s-YK
cQ
　　2)防止ICMP重定向报文的攻击
n6Bl;t:U)n.i{0
d#yhe%q,MeL0　　HKEY_LOCAL_MACHINE\SYSTEM\
QGf%Bl|%d0电脑爱好者网Kaca@(T9s
　　CurrentControlSet\Services\Tcpip\Parameters
S9nu5d*AYI@&F0电脑爱好者网rwI4M3gG#@O
　　EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
:r4j:J8im#@g&~\*j0
H@&O5]DB0　　说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报 文。 电脑爱好者网
[V YSk6T],V
电脑爱好者网&DG$W Vs&iHs
　　3)禁止响应ICMP路由通告报文 电脑爱好者网)D3[ O.[1p
电脑爱好者网b3u)^-P$T)Aa U-HU X,w1q
　　HKEY_LOCAL_MACHINE\SYSTEM\
6e-{Zp6G4~0电脑爱好者网;y:t|
xe4Ho5o
　　CurrentControlSet\Services\Tcpip\Parameters\Inter 电脑爱好者网u.a1ht8[Vri

w9GGJ O]2P0　　faces\interface 电脑爱好者网
W2~&^j3q6z:LB
电脑爱好者网X8hL#d|z!a
　　PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
3}|]+O(X)W0电脑爱好者网#A(K wQQ:j&x9@
　　说明:”ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积、长时间的网络异常. 因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发。 现选项时启用。
%Q2F^}"} X&o$S8q1L0
`g:Y e?t,_YC0　　4)防止SYN洪水攻击 电脑爱好者网jE5k,O~pg1K3rw

7f2}cg'j}0　　HKEY_LOCAL_MACHINE\SYSTEM\
v;I'L7{F;dI~0
KjLaZgS'Tr0　　CurrentControlSet\Services\Tcpip\Parameters
Imq;~'W\'mEX@0
j*WmfJU3G0　　SynAttackProtect REG_DWORD 0x2(默认值为0x0) 电脑爱好者网y1a,Y-oX|D
电脑爱好者网W]fpGA
L)t g
　　说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2, 则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。
} [cu ~0
'zD.t8sMwf0　　5) 禁止C$、D$一类的缺省共享 电脑爱好者网#N)x2G7o$_2SP

4N,| aoK+{z0　　HKEY_LOCAL_MACHINE\SYSTEM\
#^fZrg/[;@;^0电脑爱好者网eOP0y;S M
　　CurrentControlSet\Services\lanmanserver\parameters
0SG2~9s{gu$m0电脑爱好者网7H Y Oa)lbk
K
　　AutoShareServer、REG_DWORD、0x0
U;K9\QL7sS;i0电脑爱好者网2NHp$TfQe(R
　　6) 禁止ADMIN$缺省共享
.R3v1~4RS4N0
:T&Xr)G8fG!t1y^0　　HKEY_LOCAL_MACHINE\SYSTEM\
V!Y*dr Izx2d0
*c:Ar:U!J&^OwPY0　　CurrentControlSet\Services\lanmanserver\parameters
,P/lW6a V4C#z0
,R[9hzw#UQ#r?0　　AutoShareWks、REG_DWORD、0x0 电脑爱好者网5~1{(O Q J(c[

3@ }5b*xD^Z(Z.]&M&y1^0　　7) 限制IPC$缺省共享
_u)N2{a3~8X1Y%U#] OY0
q \'i m9V[;~0　　HKEY_LOCAL_MACHINE\SYSTEM\ 电脑爱好者网!z._%jQ2T5e;E'@

`#l
};q7{"gsJt7g0　　CurrentControlSet\Control\Lsa
^ H_gpbm7p0
u:d,\i DB)oa0　　restrictanonymous REG_DWORD 0x0 缺省0x1 匿名用户无法列举本机用户列表，0x2 匿名用户无法连接本机IPC$共享。 电脑爱好者网f,D q/f"PeT

w3Q`%~8N"`0　　说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server。
"J8_\SE[8{ ]g0电脑爱好者网$Z!X'@;x
I)P
　　8)不支持IGMP协议
/n!\Po Js8|U`e0电脑爱好者网TE#m!Z:dX
　　HKEY_LOCAL_MACHINE\SYSTEM\ 电脑爱好者网rR;L%? O1]/S
电脑爱好者网 M;S"`7f8r
　　CurrentControlSet\Services\Tcpip\Parameters
0Y-D;_l1nP I?M0
~Y5z r0x3OzN ld0　　IGMPLevel REG_DWORD 0x0(默认值为0x2)
C&iS
y.Q\l0
v,a9]\E;J)a(zGd,O0　　说明:记得Win9x下有个bug,就是可以用IGMP使别人蓝屏,修改注册表可以修正这个 bug.Win2000没这个bug了，IGMP并不是必要的,因此照样可以去掉.改成0后用 route print将看不到那个讨厌的224.0.0.0项了。 电脑爱好者网#K0fdpvn

,d9?w~7fh%`a0　　9)设置arp缓存老化时间设置 电脑爱好者网W.q9G"l5Q+|D
电脑爱好者网G3R1C4b+Q/w \{Y
　　HKEY_LOCAL_MACHINE\SYSTEM\ 电脑爱好者网 bX kkL
电脑爱好者网e pR&T_X5J,sS
　　CurrentControlSet\Services:\Tcpip\Parameters 电脑爱好者网v6L i(cz

X:W|5Vz w0　　ArpCacheLife　REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
R{3a\je)X,H0电脑爱好者网"U;r\O\)tA|
　　ArpCacheMinReferencedLife　REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 电脑爱好者网w*z.kmT%[J+l@

1o"xa;R:p0　　说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP。
/U]0^A)OM/]&e0
dD U@~ J0　　缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期. 每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
i*O.B2XAy5I4A'TU0
?5BPh]&v0　　10)禁止死网关监测技术 电脑爱好者网/jJ%Zn[

lry%p#L8rK'I0　　HKEY_LOCAL_MACHINE\SYSTEM\ 电脑爱好者网#bZJYW2c7^A2f

|8?%Rv6R!U;k1\0　　CurrentControlSet\Services:\Tcpip\Parameters
.j
[tdq0电脑爱好者网%YO4X ^9o2bf\OC
　　EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 电脑爱好者网^E2kq~ @I2P3h~
电脑爱好者网P5TC-o8S I8tBnNs
　　说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测。
+B9RN5[1D"gV{0电脑爱好者网2Z:Z[#s+Ui G
　　11)不支持路由功能
w*]Vj9Pyx U4L_Xc
o0
xcZm2f uJQ8C~0　　HKEY_LOCAL_MACHINE\SYSTEM\ 电脑爱好者网]k$sL%F

.j*oQ2J4WrSvz0　　CurrentControlSet\Services:\Tcpip\Parameters
c*x}*QP0
L.Vt%?Jp"K0　　IPEnableRouter REG_DWORD 0x0(默认值为0x0) 电脑爱好者网3Ctf:T2[%T.D;e],T
电脑爱好者网 h0p1| _/CMG
　　说明:把值设置为0x1，可以使Win2000具备路由功能,由此带来不必要的问题。
1H4^c5]/M0
&l~V:wU|0　　12)修改MAC地址
d2IG$sdq E%G0
%Zc gn3x_+m0　　HKEY_LOCAL_MACHINE\SYSTEM\
c
y3enB)Tl$j2I-o0电脑爱好者网$J5?8V^(_Qa@#A
　　CurrentControlSet\Control\Class\ 电脑爱好者网_x]?,\3]-w!E

K(eno9t [/RK0　　找到右窗口的说明为“网卡”的目录, 比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
"B.l'g,bI tY UW H0
X[\T9C-Z*M/_0　　展开之,在其下的0000,0001,0002...的分支中找到“DriverDesc”的键值为你网卡的说明, 比如说“DriverDesc”的值为“Intel(R) 82559 Fast Ethernet LAN on Motherboard” 然后在右窗口新建一字符串值,名字为“Networkaddress”,内容为你想要的MAC值，比如说 是“004040404040” 然后重起计算机的ipconfig /all看看。
"wJ~&r:I9l$|0