常用方法是在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是:打开IE,点击[工具]→[Internet选项]→[安全]→[自定义级别],在“安全设置”对话框中,将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。如图4 所示:
图4
另外我们还可以卸载WSH或升级到WSH5.6。WSH(Windows Script Host)是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制。利用WSH,用户能够操纵WSH对象、ActiveX对象、注册表和文件系统,在NT环境下还可以利用WSH访问活动目录服务。
卸载方法:进入“控制面板”,选择“添加/删除程序”,切换到“Windows安装程序”,选择“附件”,再选择“详细资料”中的Windows Scripting Host,最后点击“确定”即可卸载。
其实,为了避免Windows对脚本不加限制的滥用,微软为WSH5.6采用了一种新的安全模型,使得脚本用户在运行脚本之前验证其真实性。脚本开发人员对其脚本进行签名,以免发生未经授权的修改。管理员可以强制实施严格的策略,确定哪些用户有权在本地或远程运行脚本。在Windows 2000中,签名验证策略是通过“本地安全策略”编辑器设置的。签名验证策略注册表项位于以下配置单元:HKEY_CURRENT_USERSOFTWAREMicrosoftWindows ScriptHostSettingsTrustPolicy,该注册表项设置为以下某个REG_DWord值:如果为0则运行所有的脚本,如果认为脚本不可信,则提示用户,此时键值可设为1,如果键值为2则只运行可信脚本。建议将该DWORD值设为1。
四、小结
有关注册表与安全的话题笔者就讲到这,笔者只是指出了这个安全话题的冰山一角,还有很多安全问题由于时间和篇幅的限制就不再一一说明,例如防范共享入侵和禁止空连接,防止ICMP重定向报文的攻击,防止SYN洪水攻击等等很多经典的安全问题都和注册表息息相连。笔者只是希望就此话题引起大家足够认识,并且在以后实际工作、学习中遇到问题能够拓开思路,灵活多变。最后需指出,技术只是解决问题的一个方面,对人的管理很多时候更为重要!
标签:
