1、精選優質文檔-傾情為你奉上1、 設置對注冊表工具(Regedit.exe)的運行限制 保護注冊表不受未經授權訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊表。對于服務器來說，這意味著要嚴格控制服務器的物理安全，只允許管理員本地登錄。對于其他系統，或者無法防止用戶本地登錄到服務器的情況下，則可以針對Regedit.exe和Reg.exe配置訪問權限，使其更安全。另外，我們也可以嘗試從系統中刪除注冊表編輯器以及Reg命令，但這會導致其他問題，造成管理員系統管理的麻煩，尤其是當管理員需要從遠程訪問注冊表的時候，這樣的做法有些自斷后路。我們可以采取一個比較折中的方法，就是修改注冊表編輯器的訪問權限，以

2、限制其它非授權用戶對其進行訪問。訪問%SystemRoot%文件夾，找到注冊表編輯器程序Regedit.exe，右鍵單擊該工具選擇“屬性”。在屬性對話框中打開“安全”選項卡，可以看到如圖所示的界面。在該界面中我們根據需要添加或者刪除用戶或者組，然后設置其必要的訪問權限。這里的權限設置和對文件(文件夾)的權限設置是一樣的，我們可以選擇一個對象，然后允許或者拒絕特定的權限。除了Regedit.exe的設置外，我們還需要對命令行下的注冊表訪問工具Reg.exe進權限設置。打開%SystemRoot%System32文件夾，用鼠標右鍵單擊該程序，選擇“屬性”。同樣在屬性對話框中打開“安全”選項卡，默認

3、情況下該命令可以被一般用戶管理員使用，我們可以根據需要在該界面中進行用戶授權和權限設置。以筆者的經驗，大家不要通過組統一授權，因為這樣該組中的所有用戶都具有相應的權限。我們可以刪除組，只為具體的用戶授權，這樣攻擊者通過添加到組實施對注冊表的控制就行不通了 需要說明的是，Windows系統中還有一個名為Regedit32的注冊表工具，其實這個工具只是一個到Regedit.exe的鏈接。如果我們設置了Regedit.exe的權限后，并不需要對Retdit32.exe也進行類似的權限設置。2、 設置對注冊表鍵的訪問權限對于注冊表的權限控制，我們還可以具體到對注冊表鍵的訪問控制。對于注冊表鍵的權限設置

4、，我們除了可以直接進行權限的編輯外，還可以使用安全模板進配置。使用恰當的安全模板不僅可以鎖定對注冊表的訪問，而且不要擔心錯誤的設置會導致系統無法啟動或應用程序無法運行。不過，通常情況下我們只是針對特定的注冊表鍵進行權限控制，這時候只能通過直接進行權限的編輯。具體方法是：運行注冊表編輯器，找到要設置的鍵，用鼠標右鍵單擊選擇“權限”，或者也可以首先選中該鍵然后從注冊表編輯器的“編輯”菜單中選擇“權限”也可，隨后會打開“SAM的權限”對話框。和文件權限的設置一樣，我們可安裝需要添加或刪除組和用戶，選中某個對象，設置拒絕或者允許某個權限。需要說明的是，很多權限是從更高級別的鍵繼承的，無法直接進行修改。

5、要編輯其權限，需要單擊“高級”按鈕打開如圖所示的“SAM的高級安全設置”對話框。在此有4個選項卡：其中“權限”選項卡上的“繼承于”一欄顯示了這個權限是從哪里繼承來的，一般來說這些權限都是從目標鍵的根鍵繼承下來的。我們在單擊“確定”應該更改前，要考慮清楚是否應該選擇“包括可以從該對象的父項繼承的權限”復選框。如果選擇，那么所選鍵以及其下級是所有子鍵的權限都好發生變化。“審核”選項卡下可對所選鍵配置審核。“所有者”選項卡下顯示所選鍵的當前所有者，并且可以分配所有權。默認情況下，只有所選鍵會受到影響，但如果希望針對當前鍵的所有子鍵都有效，需要勾選“替換子容器和對象的所有者”選項。“有效權限”選項卡下

6、，可用于判斷當前設置會對特定用戶或組應用怎樣的權限，這個功能非常有用，而且在“權限”選項卡下對權限的修改在單擊“確定”或“應用”之前會不會被應用。3、 安全設置控制對注冊表的遠程訪問Windows的注冊表不僅可本地訪問，還可遠程訪問。因此，攻擊者或者未經授權的用戶可能會像管理員一樣嘗試遠程訪問系統的注冊表，這無疑會帶來極大的安全風險。通常情況下，對于個人系統我們不會遠程訪問注冊表，那么就可以禁止注冊表的遠程訪問。“開始”菜單中的“運行”，輸入services.msc打開服務管理器，找到“Remote Registry”服務項，雙擊該項“停止”服務，并設置啟動類型為“禁止”即可。不過，上述設置后

7、，就完全禁止了遠程對注冊表的訪問。但有的時候，我們需要允許可遠程訪問注冊表的某些鍵，該怎么辦呢?其實，我們還可通過修改注冊表鍵值的方法來控制對注冊表的遠程訪問。這個注冊表鍵是“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”。在開啟了“Remote Registry”服務的Windows系統中就有該注冊表鍵，Windows使用該鍵的權限設置判斷哪些用戶可以遠程訪問注冊表，而默認情況下，通過驗證的用戶都可以。事實上，通過驗證的用戶對該鍵具有查詢數值、枚舉子鍵、通知和讀取的控制權限。因此，我們需要排除某些敏感的注冊表目錄，以防止被

8、遠程惡意訪問。在“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”鍵先有個“AllowedPaths”鍵，其右側有個字符串注冊表鍵值“Machine”，雙擊該鍵值可以看到可遠程訪問的注冊表鍵值路徑，在此我們可以根據需要添加或者刪除注冊表路徑，以實現對遠程訪問注冊表路徑的控制下面做一些補充，筆者看到某些管理員基于安全需要關閉了注冊表的遠程訪問功能，卻莫名其妙地造成了某些系統故障，這里做一說明。這時因為，Windwos系統中的某些服務為了實現特殊的功能可能需要遠程訪問注冊表，例如Directory Replicator服務已經Sp

9、ooler服務，這樣在關閉了對注冊表的遠程訪問會造成這些服務的運行錯誤。這樣我們一定要在限制對注冊表的遠程訪問時，必須要繞過這些服務對遠程注冊表訪問的限制。其做法是，將需要遠程訪問注冊表的服務的賬戶名添加到Winreg鍵的訪問列表中，或者將需要遠程訪問的注冊表鍵的路徑添加到AllowedPath值中。在Machine鍵下的Paths值可以讓計算機訪問列出的位置，Users鍵下的Paths值可以讓用戶訪問列出的位置。只要對這些鍵沒有明確的訪問限制，那么就可以進行遠程訪問。在修改完畢后，需要重新啟動計算機這樣對注冊表的修改才可生效此外，對于Windows Vista和Windows Server

10、2008系統來說，我們可以通過“本地安全策略”控制臺啟用或者禁用注冊表的遠程訪問，同時也可以設置用戶或組是否列在Winreg注冊表鍵的訪問控制列表(ACL)中。這里設置了很多默認路徑，筆者建議不要輕易修改它們，除非你非常清楚你要進行的操作。其操作方法是：依次單擊“開始”“管理工具”“本地安全策略”，打開本地安全策略控制臺。展開左窗格中的“本地策略”節點，然后選擇“安全選項”，在主窗格中可以看到列出了很多策略設置。在此，我們可以拖動滾動條，根據需要雙擊“網絡訪問：可遠程訪問的注冊表路徑”或“網絡訪問：可遠程訪問的注冊表路徑和子路徑”選項。在屬性對話的“本地策略設置”選項卡上，可以看到允許遠程訪問

11、的注冊表路徑以及子路徑列表。在此我們可按照需要添加或刪除路徑或者子路徑4、 部署審核監視用戶對注冊表的操作審核是Windows系統的一項重要功能，就像對文件等其他系統項進行審核一樣，我們也可注冊表的訪問進行審核。據此我們可了解到哪些用戶訪問了注冊表，以及他對注冊表進行了哪些操作。不過，啟用對注冊表的審核后會耗費一定的系統性能。筆者建議，我們只選擇自己最關心的、必要的審核對象，以減少被寫入安全日志中的數據流，以此減少對系統性能帶來的負擔。要啟用對在注冊表的審核，先要啟用系統審核。為此，需要通過系統的本地安全策略或相應的組策略對象進行。cmd+ secpol.m運行“本地計算機策略”控制臺，定位到

12、“計算機配置”“Windows 設置”“安全設置”“本地策略”“審核策略”節點下設置啟用系統審核策略。對系統啟用了審核后，即可配置希望對注冊表進行審核的方式。我們可以設置對需要的注冊表鍵進行監控，此時我們可以利用繼承功能，這樣我們就不需要對注冊表中的每一個鍵進行設置審核了。當然，如果只需要對一個指定的根鍵或者子鍵作為開始的審核的起點，我們可以首先取消上面的繼承重新設置。比如，我們要對事關系統賬戶安全的HKLMSAM注冊表鍵進行審核，可進行如此操作。(圖6)圖6依次點擊“開始”“運行”，輸入regedit.exe打開注冊表編輯器。定位到HKLMSAM注冊表鍵，右鍵單擊該鍵選擇“權限”打開“SAM的權限”對話框。帶該對話框中單擊“高級”按鈕，打開“SAM的高級安全設置”對話框，在對話框中打開“審核”選項卡，單擊“添加”按鈕進入對話框，在此選擇要審核的用戶或組。審核的用戶或者組添加完畢后，單擊“確定”進入“SAM的審核項目”對話框。在此，我們可以針對每個權限選擇要進行的審核類型。如果希望跟蹤權限的成功使用，就選擇相應的“成功”選項;如果希望更正權限的失敗使