注册表安全&设置键值详解组策略设置的储存位置
(※可以考虑允许C:\WINDOWS\system32\mmc.exe,c:\windows\system32\winlogon.exe对其修改,其他程序全部询问).
*\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*
*\Software\Microsoft\Windows\CurrentVersion\Group Policy\*
*\Software\Microsoft\Windows\CurrentVersion\Policies\*
*\Software\Policies\Microsoft\*
※组策略中常用项解析
删除"运行"命令
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun\*
隐藏/显示文件夹选项
*\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions*
删除"查找"命令
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
从"开始"菜单的"属性"中删除任务栏
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskbar
"我的电脑"中隐藏驱动器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
退出时不保存设置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
只能允许运行的Windows程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\*
禁用密码的用户配置文件页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoProfilePage\*
禁止系统鼠标右击快捷菜单
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu\*
禁止任务栏鼠标右击快捷菜单
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu\*
禁止修改开始按钮快捷菜单
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu\*
禁用“显示器”控制面板
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL\*
隐藏背景页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage\*
隐藏屏幕保护程序页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]\NoDispScrSavPage\*
隐藏外观页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage\*
隐藏设置页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage\*
禁用“网络”控制面板
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetup\*
隐藏标识页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetupIDPage\*
隐藏访问控制页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetupSecurityPage\*
隐藏“口令”控制面板
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoNetSetupSecurityPage\*
隐藏更改口令页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoPwdPage\*
隐藏远程管理页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoAdminPage\*
隐藏用户配置文件页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoProfilePage\*
隐藏常规和详细资料页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPrinterTabs\*
禁止删除打印机
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDeletePrinter\*
禁止添加打印机
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAddPrinter\*
隐藏设备管理页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDevMgrPage\*
隐藏硬件配置文件页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConfigPage\*
隐藏“文件系统”按钮
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoFileSysPage\*
隐藏“虚拟内存”按钮
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoVirtMemPage\*
禁用文件共享控制
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoFileSharingControl\*
禁用打印共享控制
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoPrintSharingControl\*
隐藏"开始"菜单
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuSubFolders\*
删除"运行"命令
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun\*
从"开始"菜单上的"设置"中删除文件夹
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders\*
删除"查找"命令
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind\*
在"我的电脑"中隐藏驱动器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives\*
隐藏"网上邻居
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetHood\*
"网上邻居"中没有"整个网络"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoEntireNetwork\*
"网上邻居"中没有工作组目录
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoWorkgroupContents\*
隐藏桌面上的所有程序项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop\*
禁用"关闭系统"命令
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose\*
退出时不保存设置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose\*
禁用注册表编辑器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools\*
只能允许运行的windows程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\*
禁止光盘自动运行
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun\*
每次退出系统(或注销用户)时自动清除文档历史记录
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ClearRecentDocsOnExit\
关闭‘开始’菜单动画提示
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartBanner\*
浏览器设置
自定义IE的临时目录
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cache\*
自定义Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies\*
自定义"收藏夹"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Favorites\*
自定义"历史记录"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\History\*
指定浏览器(包括ie浏览器、windows的explorer浏览器)工具栏的背景
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\BackBitmap\*
设置ie标题栏
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title\*
不检查ie更新
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\NoUpdateCheck\*
禁用常规页
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\NoGeneralTab\*
禁用更改主页设置
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage\*
禁用更改辅助功能设置
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Accessibility\*
Internet Explorer-IIS安全通道设置
*\SYSTEM\*ControlSet*\Control\SecurityProviders\SCHANNEL\Protocols\*
资源管理器设置
右对齐菜单
HKEY_CURRENT_USER\Control Panel\Desktop\MenuDropAlignment\*
隐藏/显示隐藏文件:
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden*
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden*
隐藏/显示开始菜单运行项
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuRun\*
桌面墙纸设置
*\Internet Explorer\Desktop\General\Wallpaper\*
*\Internet Explorer\Desktop\General\BackupWallpaper\*
*\Internet Explorer\Desktop\General\WallpaperFileTime\*
*\Internet Explorer\Desktop\General\TileWallpaper\*
*\Internet Explorer\Desktop\General\ConvertedWallpaper\*
*\Internet Explorer\Desktop\General\OriginalWallpaper\*
*\Internet Explorer\Desktop\General\WallpaperStyle\*
*\Control Panel\Desktop\Wallpaper\*
*\Control Panel\Desktop\BackWallpaper\*
*\Control Panel\Desktop\OriginalWallpaper\*
*\Control Panel\Desktop\ConvertedWallpaper\*
*\Control Panel\Desktop\TileWallpaper\*
*\Control Panel\Desktop\WallpaperStyle\*
在新建快捷方式时不显示'快捷方式'字符串
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Link\*
自定义"程序"文件夹
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Programs\*
自定义桌面图标
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Desktop\*
自定义"启动"文件夹
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Startup\*
自定义网上邻居
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\NetHood\*
自定义"开始"菜单
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Start Menu\*
自定义开始菜单中的"文档"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Recent\*
自定义"我的文档"文件夹
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Personal\*
开始菜单速度
HKEY_USERS\.DEFAULT\Control Panel\Desktop\MenuShowDelay\*
开始菜单速度
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{00021400-0000-0000-C000-000000000046}\MenuShowDelay\*
关闭菜单动画效果
HKEY_USERS\.DEFAULT\Control Panel\Desktop\WindowMetrics\MinAnimate\*
关闭平滑卷动效果
HKEY_USERS\.DEFAULT\Control Panel\Desktop\SmoothScroll\*
关闭动画显示窗口、菜单和列表
HKEY_USERS\.DEFAULT\Control Panel\Desktop\UserPreferencemask\*
系统托盘显示时间前面加一字符串
HKEY_CURRENT_USER\Control Panel\International\StimeFormat\*
系统自动记录文件夹视图设置的数量上限
*\Software\Microsoft\Windows\Shell\BagMRU Size\*
*\Software\Microsoft\Windows\ShellNoRoam\BagMRU Size\*
新建菜单项
*\ShellEx\ContextMenuHandlers\*
屏幕保护程序设置
HKCU\Control Panel\Desktop\ScreenSaveActive\*
HKCU\Control Panel\Desktop\ScreenSaveIsSecure\*
HKCU\Control Panel\Desktop\SCANSAVE.EXE\*
局域网共享文件设置<部分病毒通过这个途径在局域网传播>
*\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\Shared\*
系统设置
自定义windows临时文件夹
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Templates\*
不自动搜索网络文件夹和打印机
*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\NoNetCrawling\*
出错时报警
HKEY_CURRENT_USER\Control Panel\Sound\Beep\*
不显示最后登录的用户名
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\DontDisplayLastUserName\*
允许登录前关机
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\ShutdownWithoutLogon\*
缩短ctrl+alt+del关闭无响应程序的等待时间(ms)
HKEY_USERS\.DEFAULT\Control Panel\Desktop\WaitToKillAppTimeout\*
缩短应用程序出错的等待响应时间(ms)
HKEY_USERS\.DEFAULT\Control Panel\Desktop\HungAppTimeout\*
Explorer崩溃之后,Windows自动恢复桌面
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon\AutoRestartShell\*
文件系统底层设置<底层项>
HKLM\SYSTEM\*ControlSet*\Control\FileSystem\*
Windows系统文件存储位置/备份设置<重要项>
HKLM\SYSTEM\*ControlSet*\Control\BackupRestore\*
系统定时运行任务设置<可以通过此键定时运行程序>
*\SYSTEM\*ControlSet*\Services\Schedule\*
VB/VBA程序设置/调试 内容
HKCR\Software\VB and VBA Program Settings\*
Internet Explorer加载DLL位置<Internet Explorer加载DLL读取位置,有恶意程序会通过此处在Internet Explorer加载时加载/复活>
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\*
ini文件注册表映射
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\*
MountPoint项<Autorun.inf文件内容注册表存储位置,U盘自动运行类病毒重点防御部位>
*\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*
Windows 程序路径<包含了常用程序的路径记录,谨防病毒恶意修改为病毒路径,个人认为全局允许配合记录日志,然后定期查看比较合适?还是直接套用询问的好?>
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\*
URL默认前缀<部分病毒会修改这里的DefaultPrefix\default,这里一般直接禁写吧>
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\*
Svchost程序配置<此注册表项下的每个值都代表单独的 Svchost 组,包含Svchost加载项,微软官方解释请移步:
http://support.microsoft.com/kb/314056/zh-cn>;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\*
系统文件检查器参数
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable\*
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan\*
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCQuota\*
命令提示符配置参数
*\Software\Microsoft\Command Processor\*
恶意程序会利用下面键值在命令提示符运行前启用其它应用程序
*\Software\Microsoft\Command Processor\AutoRun\*
命令扩展开关
*\Software\Microsoft\Command Processor\EnableExtensions\*
我的电脑配置参数
备份程序路径储存键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath\*
磁盘清理程序储存键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath\*
磁盘整理程序储存键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath\*
辅助工具配置参数
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\*
安全模式配置参数<推荐防护>
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Minimal\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\SafeBoot\Network\*
DrWaston32配置参数
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Auto\*<是否自动启动
>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\Debugger\*<启动参数>
系统环境变量参数
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager\Environment\*
HKEY_CURRENT_USER\Environment\*
HKEY_USERS\*\Environment\*
命令提示符配置参数<定义命令提示符的路径和文件名>
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Session Manager\Environment\ComSpec\*
OutlookExpress设置参数储存位置
HKEY_CURRENT_USER\Identities\*\Software\Microsoft\Outlook Express\*
启动和故障恢复配置参数
*\SYSTEM\*ControlSet*\Control\CrashControl\*
证书-受信任的发行者
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\*
系统还原配置参数
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\*
Windows自动更新配置参数
*\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\*
Windows防火墙配置参数
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*\AuthorizedApplications\List\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*\GloballyOpenPorts\List\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*\IcmpSettings\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Parameters\FirewallPolicy\*\*\*
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Services\SharedAccess\Enum\*
Windows安全中心配置参数
*\SOFTWARE\Microsoft\Security Center\*
Windows终端服务器配置参数
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Terminal Server\*
Telnet服务器配置参数
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\*
WOW 设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot\* <Lists drivers and Windows 3.x modules, with these entries and default values to map Windows 3.x drivers to Windows NT.驱动及Windows3.x模块加载项>
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\WOW\cmdline\*<Defines the commmand line that runs when an MS-DOS-based application runs under Windows NT.定义DOS程序运行时同时加载的其他程序>
HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\WOW\wowcmdline\*\*<Defines the command line that runs when a 16-bit Windows-based application is started.定义16程序运行时同时加载的其他程序>
用户账户设置
(第一条适用于对修改操作使用询问规则(此条内为用户账户常用设置),第二条一般阻止吧(为第一条的上层,这里包含账户分组数据,个人取舍吧,需要修改分组的也可以考虑用询问)c:\windows\system32\lsass.exe可直接允许)
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\*
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\*
自动终止程序设置
程序超时结束时间
*\Control Panel\Desktop\WaitToKillAppTimeout*
程序超时挂起时间
*\Control Panel\Desktop\HungAppTimeOut*
自动结束任务
*\Control Panel\Desktop\ArtoEndTasks*
服务超时结束时间
HKLM\SYSTEM\*ControlSet*\Control\WaitToKillServiceTimeout*