保護Windows系統(tǒng)注冊表安全的幾招常用方法

1、保護Windows系統(tǒng)注冊表安全的幾招常用方法對于Windows系統(tǒng)來說，注冊表和系統(tǒng)的安全穩(wěn)定運行休戚相關(guān)。正因如此，它也 成了系統(tǒng)的軟肋，任何不當操作或者惡意破壞都會造成災難性的后果。其實，為了 減少因為上述安全風險，注冊表有一些內(nèi)建的安全限制 （比如注冊表默認限制某些 區(qū)域只能被特定用戶看到，例如 HKLMSA和HKLMSECURI就只能被LocalSystem 用戶看到 ）。但僅僅有這些安全措施還遠遠不能保證注冊表的安全，我們還應該進 行更加嚴格的安全控制。下面和大家分享一些經(jīng)驗。說明：下面的所有操作是在 Windows Server 2008 上進行的，其中絕大多少適 用于其他 Wi

2、ndows系統(tǒng)，只有極少的部分是就要 Server 2008的。1 、設置對注冊表工具 （Regedit.exe） 的運行限制保護注冊表不受未經(jīng)授權(quán)訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊 表。對于服務器來說，這意味著要嚴格控制服務器的物理安全，只允許管理員本地 登錄。對于其他系統(tǒng)，或者無法防止用戶本地登錄到服務器的情況下，則可以針對 Regedit.exe 和 Reg.exe 配置訪問權(quán)限，使其更安全。另外，我們也可以嘗試從系 統(tǒng)中刪除注冊表編輯器以及 Reg命令，但這會導致其他問題，造成管理員系統(tǒng)管理 的麻煩，尤其是當管理員需要從遠程訪問注冊表的時候，這樣的做法有些自斷后 路。我們可

3、以采取一個比較折中的方法，就是修改注冊表編輯器的訪問權(quán)限，以限 制其它非授權(quán)用戶對其進行訪問。訪問 %SystemRoot文件夾，找到注冊表編輯器程 序 Regedit.exe ，右鍵單擊該工具選擇“屬性”。在屬性對話框中打開“安全”選 項卡，可以看到如圖所示的界面。在該界面中我們根據(jù)需要添加或者刪除用戶或者 組，然后設置其必要的訪問權(quán)限。這里的權(quán)限設置和對文件 （文件夾）的權(quán)限設置是 一樣的，我們可以選擇一個對象，然后允許或者拒絕特定的權(quán)限。除了Regedit.exe的設置外，我們還需要對命令行下的注冊表訪問工具Reg.exe進權(quán)限設置。打開%SystemRoot%System3文件夾，用鼠

4、標右鍵單擊該程序，選擇“屬 性”。同樣在屬性對話框中打開“安全”選項卡，默認情況下該命令可以被一般用 戶管理員使用，我們可以根據(jù)需要在該界面中進行用戶授權(quán)和權(quán)限設置。大家不要 通過組統(tǒng)一授權(quán)，因為這樣該組中的所有用戶都具有相應的權(quán)限。我們可以刪除 組，只為具體的用戶授權(quán)，這樣攻擊者通過添加到組實施對注冊表的控制就行不通 了。需要說明的是，Windows系統(tǒng)中還有一個名為Regedit32的注冊表工具，其實 這個工具只是一個到 Regedit.exe 的鏈接。如果我們設置了 Regedit.exe 的權(quán)限 后，并不需要對 Retdit32.exe 也進行類似的權(quán)限設置。2 、設置對注冊表鍵的訪問

5、權(quán)限對于注冊表的權(quán)限控制，我們還可以具體到對注冊表鍵的訪問控制。對于注冊 表鍵的權(quán)限設置，我們除了可以直接進行權(quán)限的編輯外，還可以使用安全模板進配 置。使用恰當?shù)陌踩０宀粌H可以鎖定對注冊表的訪問，而且不要擔心錯誤的設置 會導致系統(tǒng)無法啟動或應用程序無法運行。不過，通常情況下我們只是針對特定的注冊表鍵進行權(quán)限控制，這時候只能通 過直接進行權(quán)限的編輯。具體方法是：運行注冊表編輯器，找到要設置的鍵，用鼠 標右鍵單擊選擇“權(quán)限”，或者也可以首先選中該鍵然后從注冊表編輯器的“編 輯”菜單中選擇“權(quán)限”也可，隨后會打開“ SAM勺權(quán)限”對話框。和文件權(quán)限的 設置一樣，我們可安裝需要添加或刪除組和用戶，選

6、中某個對象，設置拒絕或者允 許某個權(quán)限。需要說明的是，很多權(quán)限是從更高級別的鍵繼承的，無法直接進行修改。要編 輯其權(quán)限，需要單擊“高級”按鈕打開如圖所示的“ SAM勺高級安全設置”對話 框。在此有 4 個選項卡：其中“權(quán)限”選項卡上的“繼承于”一欄顯示了這個權(quán)限 是從哪里繼承來的，一般來說這些權(quán)限都是從目標鍵的根鍵繼承下來的。我們在單 擊“確定”應該更改前，要考慮清楚是否應該選擇“包括可以從該對象的父項繼承 的權(quán)限”復選框。如果選擇，那么所選鍵以及其下級是所有子鍵的權(quán)限都好發(fā)生變 化?！皩徍恕边x項卡下可對所選鍵配置審核。“所有者”選項卡下顯示所選鍵的當 前所有者，并且可以分配所有權(quán)。默認情況下

7、，只有所選鍵會受到影響，但如果希 望針對當前鍵的所有子鍵都有效，需要勾選“替換子容器和對象的所有者”選項?！坝行?quán)限”選項卡下，可用于判斷當前設置會對特定用戶或組應用怎樣的權(quán)限， 這個功能非常有用，而且在“權(quán)限”選項卡下對權(quán)限的修改在單擊“確定”或“應 用”之前會不會被應用。3 、安全設置控制對注冊表的遠程訪問Windows 的注冊表不僅可本地訪問，還可遠程訪問。因此，攻擊者或者未經(jīng)授 權(quán)的用戶可能會像管理員一樣嘗試遠程訪問系統(tǒng)的注冊表，這無疑會帶來極大的安 全風險。通常情況下，對于個人系統(tǒng)我們不會遠程訪問注冊表，那么就可以禁止注 冊表的遠程訪問?！伴_始”菜單中的“運行”，輸入 service

8、s.msc 打開服務管理器，找到 “ Remote Registry ”服務項，雙擊該項“停止”服務，并設置啟動類型為“禁 止”即可。不過，上述設置后，就完全禁止了遠程對注冊表的訪問。但有的時候， 我們需要允許可遠程訪問注冊表的某些鍵，該怎么辦呢 ?其實，我們還可通過修改 注冊表鍵值的方法來控制對注冊表的遠程訪問。這個注冊表鍵是“ HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg ”。在開啟了 “Remote Registry ”服務的 Windows系統(tǒng)中就有該注冊表鍵， Windows使用該鍵 的權(quán)限設置判斷哪些用戶可以遠程訪問注冊表，而默認情況下，通過驗證的用戶都 可以。事實上，通過驗證的用戶對該鍵具有查詢數(shù)值、枚舉子鍵、通知和讀取的控 制權(quán)限。因此，我們需要排除某些敏感的注冊表目錄，以防止被遠程惡意訪問。在 “HKLMSYSTEMCurrentControlSetControlSecu