第九章注冊(cè)表安全

1、第九章 注冊(cè)表安全本章描述：注冊(cè)表是管理windows軟硬件的大管家，它的設(shè)置直接關(guān)系到計(jì)算機(jī)的穩(wěn)定性。9.1 注冊(cè)表安全標(biāo)準(zhǔn)本章通過(guò)5個(gè)子任務(wù)即注冊(cè)表文件的位置，禁止注冊(cè)表編輯器運(yùn)行，訪問(wèn)授權(quán)和啟用審核，關(guān)閉Windows注冊(cè)表的遠(yuǎn)程訪問(wèn)和注冊(cè)表備份和恢復(fù)，在注冊(cè)表安全方面建立以下標(biāo)準(zhǔn)：1、會(huì)使用注冊(cè)表編輯器2、會(huì)使用組策略禁止注冊(cè)表的使用3、能夠用注冊(cè)表編輯器禁止注冊(cè)表的使用4、會(huì)設(shè)置注冊(cè)表項(xiàng)訪問(wèn)權(quán)限5、會(huì)設(shè)置注冊(cè)表記錄審核6、能夠禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問(wèn)7、能夠備份和恢復(fù)注冊(cè)表9.2 注冊(cè)表文件的位置注冊(cè)表文件的位置 任務(wù)描述任務(wù)描述1：注冊(cè)表中存放著各種參數(shù)，直接控制著 Windows

2、的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些 Windows 應(yīng)用程序的運(yùn)行，從而在整個(gè)系統(tǒng)中起著核心作用。那么，了解注冊(cè)表隨著windows操作系統(tǒng)的發(fā)展變化的過(guò)程、以及注冊(cè)表的作用、功能是必要的。 技能要求：技能要求：了解注冊(cè)表的構(gòu)成及存放位置的方法，理解注冊(cè)表的作用，掌握使用注冊(cè)表的方法Windows注冊(cè)表是幫助Windows控制硬件、軟件、用戶環(huán)境和Windows界面的一套數(shù)據(jù)文件，注冊(cè)表包含在Windows目錄下兩個(gè)文件system.dat和user.dat里，還有它們的備份system.da0和user.da0。通過(guò)Windows目錄下的regedit.exe程序可以存取注冊(cè)表數(shù)據(jù)庫(kù)。在wi

3、ndows的更早版本（Win95以前），這些功能是靠win.ini，system.ini和其他和應(yīng)用程序有關(guān)聯(lián)的.ini文件來(lái)實(shí)現(xiàn)的。 注冊(cè)表（Registry）是Windows操作系統(tǒng)、硬件設(shè)備以及客戶應(yīng)用程序得以正常運(yùn)行和保存設(shè)置的核心“數(shù)據(jù)庫(kù)”；是一個(gè)巨大的樹(shù)狀分層的數(shù)據(jù)庫(kù)。它記錄了用戶安裝在機(jī)器上的軟件和每個(gè)程序的相互關(guān)聯(lián)關(guān)系；它包含了計(jì)算機(jī)的硬件配置，包括自動(dòng)配置的即插即用的設(shè)備和已有的各種設(shè)備說(shuō)明、狀態(tài)屬性以及各種狀態(tài)信息和數(shù)據(jù)等。 概括起來(lái)，注冊(cè)表中存放著各種參數(shù)，直接控制著 Windows 的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些 Windows 應(yīng)用程序的運(yùn)行，從而在整個(gè)系統(tǒng)中起著

4、核心作用它包括：(1)軟、硬件的有關(guān)配置和狀態(tài)信息，注冊(cè)表中保存有應(yīng)用程序和資源管理器外殼的初始條件、首選項(xiàng)和卸載數(shù)據(jù)。(2)聯(lián)網(wǎng)計(jì)算機(jī)的整個(gè)系統(tǒng)的設(shè)置和各種許可,文件擴(kuò)展名與應(yīng)用程序的關(guān)聯(lián)，硬件部件的描述、狀態(tài)和屬性。(3)性能記錄和其它底層的系統(tǒng)狀態(tài)信息，以及其它數(shù)據(jù)。9.3 禁止注冊(cè)表編輯器運(yùn)行禁止注冊(cè)表編輯器運(yùn)行 任務(wù)描述任務(wù)描述2：在Windows操作系統(tǒng)安裝完成后，默認(rèn)情況下注冊(cè)表編輯工具Regedit.exe可以任意使用，為了防止具有惡意的人員使用，我們應(yīng)該掌握禁止Regedit.exe使用的設(shè)置方法。 技能要求：技能要求：掌握使用組策略禁止注冊(cè)表使用的方法、掌握使用注冊(cè)表編輯器

5、禁止注冊(cè)表使用的方法 Regedit.exe是微軟提供的一個(gè)用于編輯注冊(cè)表的工具，是所有windows系統(tǒng)自帶的最通用的注冊(cè)表編輯工具。由于Windows系統(tǒng)沒(méi)有提供運(yùn)行這個(gè)應(yīng)用程序的菜單項(xiàng)，因此必須手動(dòng)啟動(dòng)，啟動(dòng)方法：?jiǎn)螕簟伴_(kāi)始”菜單左鍵單擊選擇“所有程序-附件-運(yùn)行”命令項(xiàng)，顯示 “運(yùn)行”對(duì)話框。在“打開(kāi)”字段編輯框中，鍵入“Regedit.exe”，單擊“確定”按鈕即可。Regedit.exe這個(gè)工具可以對(duì)注冊(cè)表進(jìn)行添加修改主鍵、鍵值，備份注冊(cè)表，局部導(dǎo)入導(dǎo)出注冊(cè)表等操作。 在Windows操作系統(tǒng)安裝完成后，默認(rèn)情況下Regedit.exe工具可以任意使用，為了防止具有惡意的人員使用，

6、建議禁止Regedit.exe的使用，下面介紹2種禁止Regedit.exe使用的方法。9.3.1 禁止注冊(cè)表編輯器運(yùn)行方法一禁止注冊(cè)表編輯器運(yùn)行方法一使用組策略禁止Regedit.exe的使用。第1步 打開(kāi)組策略編輯器，在左側(cè)的【本地計(jì)算機(jī)策略】列表中，展開(kāi)【用戶配置】【管理模版】【系統(tǒng)】，如圖9-3所示。 圖9-3系統(tǒng)策略9.3.1 禁止注冊(cè)表編輯器運(yùn)行方法一禁止注冊(cè)表編輯器運(yùn)行方法一第2步 在右側(cè)的組策略列表中，打開(kāi)【不要運(yùn)行指定的Windows程序】策略（如圖9-4所示）。選中【已啟用】左側(cè)的單選按鈕，【不允許的應(yīng)用程序的列表】右側(cè)的【顯示】按鈕的狀態(tài)轉(zhuǎn)變?yōu)榭删庉嫚顟B(tài)（如圖9-5所示）

7、。圖9-4 打開(kāi)【不要運(yùn)行指定的Windows程序】策略圖9-5 啟用策略圖9-5 啟用策略第3步 單擊【顯示】按鈕， 在顯示的對(duì)話框中單擊【添加】按鈕，在【輸入要添加的項(xiàng)目】下方的編輯框中，鍵入要禁止運(yùn)行的【regedit.exe】程序名稱（如圖9-6所示），退出組策略編輯器。圖9-6 設(shè)置應(yīng)用程序的名稱圖9-6 設(shè)置應(yīng)用程序的名稱【說(shuō)明】 在鍵入要禁止的應(yīng)用程序的名稱時(shí)，不需要鍵入應(yīng)用程序的路徑，僅鍵入應(yīng)用程序名稱即可。如果計(jì)算機(jī)使用者將應(yīng)用程序改名，同時(shí)需要再次更改應(yīng)用程序的名稱，否則策略將不再生效。如果需要恢復(fù)注冊(cè)表編輯器的使用，將此策略設(shè)置為【未配置】或者【已禁用】，即可恢復(fù)注冊(cè)表編

8、輯器的使用。9.3.2禁止注冊(cè)表編輯器運(yùn)行方法二禁止注冊(cè)表編輯器運(yùn)行方法二 使用注冊(cè)表編輯器禁止Regedit.exe的使用。 第1步 打開(kāi)【注冊(cè)表編輯器】窗口，依次展開(kāi)HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem，如9-7所示。圖9-7 展開(kāi)列表圖9-7 展開(kāi)列表第2步 如果Policies子鍵下面沒(méi)有System鍵值，需要新建System鍵值。鼠標(biāo)右鍵單擊【Policies】，選中【新建】【項(xiàng)】，鍵入System鍵值。在【System鍵】下新建一個(gè)【DisableRegistryTools】鍵值，

9、將此鍵值設(shè)置為1（默認(rèn)為0），退出注冊(cè)表編輯器即可，如圖9-8所示。圖9-8【編輯DWORD值】屬性對(duì)話框圖9-8【編輯DWORD值】屬性對(duì)話框9.4 訪問(wèn)授權(quán)和啟用審核訪問(wèn)授權(quán)和啟用審核 任務(wù)描述任務(wù)描述3:在Windows操作系統(tǒng)中，計(jì)算機(jī)使用者可以啟動(dòng)注冊(cè)表的審核功能，對(duì)授予權(quán)限的用戶啟用審核操作，通過(guò)監(jiān)控審核結(jié)果，確認(rèn)是否有非法帳戶在訪問(wèn)注冊(cè)表的指定項(xiàng)。那么，如何進(jìn)行注冊(cè)表的訪問(wèn)授權(quán)、如何對(duì)注冊(cè)表操作行為進(jìn)行審核呢？ 技能要求：技能要求：掌握設(shè)置注冊(cè)表項(xiàng)訪問(wèn)權(quán)限的方法、掌握設(shè)置注冊(cè)表記錄審核的方法 默認(rèn)情況下，部分注冊(cè)表鍵值設(shè)置的保護(hù)因?yàn)橐櫦暗酱蠖鄶?shù)系統(tǒng)組件的正常運(yùn)行而只提供了最基本

10、的安全保護(hù)，如果想要進(jìn)行高級(jí)別的安全保護(hù)，必須修改某些訪問(wèn)權(quán)限，對(duì)注冊(cè)表非必要的修改可能會(huì)引起系統(tǒng)故障甚至無(wú)法修復(fù)。由于Windows系統(tǒng)繼承特性，對(duì)于子對(duì)象的權(quán)限是自動(dòng)從父級(jí)對(duì)象繼承來(lái)的，允許使用者通過(guò)權(quán)限編輯器的允許父項(xiàng)的權(quán)限傳播到該對(duì)象和所有子對(duì)象，除了從父級(jí)對(duì)象繼承權(quán)限的對(duì)象外，其他子對(duì)象都可以分別設(shè)定權(quán)限。 計(jì)算機(jī)使用者可以啟動(dòng)注冊(cè)表的審核功能，對(duì)授予權(quán)限的用戶啟用審核操作，通過(guò)監(jiān)控審核結(jié)果，確認(rèn)是否有非法帳戶在訪問(wèn)注冊(cè)表的指定項(xiàng)。9.4.1訪問(wèn)授權(quán)訪問(wèn)授權(quán)任何時(shí)候，只要某個(gè)鍵的權(quán)限不是純粹的讀取或者完全控制，那么就可以通過(guò)高級(jí)安全設(shè)置的特殊權(quán)限菜單進(jìn)行設(shè)置。圖9-9屬性對(duì)話框9.4

11、.2記錄審核記錄審核選中【高級(jí)】按鈕，顯示【高級(jí)安全設(shè)置】屬性對(duì)話框，單擊【審核】選項(xiàng)卡，如圖9-10所示。圖9-10 【審核】選項(xiàng)卡對(duì)話框9.5關(guān)閉關(guān)閉Windows注冊(cè)表的遠(yuǎn)程訪問(wèn)注冊(cè)表的遠(yuǎn)程訪問(wèn) 任務(wù)描述任務(wù)描述4:注冊(cè)表是Windows操作系統(tǒng)的核心，在默認(rèn)情況下，所有安裝Windows操作系統(tǒng)的計(jì)算機(jī)注冊(cè)表在網(wǎng)絡(luò)上都是可以被訪問(wèn)到，非法入侵者完全可以利用這個(gè)安全漏洞來(lái)對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，修改文件關(guān)系，并允許插入惡意代碼。為了保護(hù)操作系統(tǒng)安全，需要禁止對(duì)注冊(cè)表的遠(yuǎn)程訪問(wèn)。那么，關(guān)閉注冊(cè)表的遠(yuǎn)程訪問(wèn)的方法是怎么樣的呢？ 技能要求：技能要求：掌握關(guān)閉注冊(cè)表的遠(yuǎn)程訪問(wèn)的方法9.5.1設(shè)

12、置遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑為空設(shè)置遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑為空Windows Server 2003操作系統(tǒng)提供注冊(cè)表的遠(yuǎn)程訪問(wèn)功能，只有將遠(yuǎn)程可訪問(wèn)的注冊(cè)表路徑設(shè)置為空，這樣才能有效的防止非法入侵者利用掃描器通過(guò)遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息。9.6 注冊(cè)表備份和恢復(fù)注冊(cè)表備份和恢復(fù) 任務(wù)描述任務(wù)描述5:Windows將操作系統(tǒng)配置信息存儲(chǔ)在注冊(cè)表數(shù)據(jù)庫(kù)中，其中包含了每個(gè)計(jì)算機(jī)用戶的配置文件，以及有關(guān)系統(tǒng)硬件、已安裝的程序和屬性設(shè)置等信息，Windows在運(yùn)行過(guò)程中要一直引用這些信息。注冊(cè)表是以二進(jìn)制形式存儲(chǔ)在硬盤(pán)上，錯(cuò)誤地修改注冊(cè)表可能會(huì)嚴(yán)重?fù)p壞系統(tǒng)。由于注冊(cè)表包含了系統(tǒng)啟動(dòng)、文件關(guān)

13、聯(lián)、系統(tǒng)安全等一系列的重要數(shù)據(jù)，為了保證系統(tǒng)健康，強(qiáng)烈建議備份注冊(cè)表信息。 技能要求：技能要求：掌握如何使用Windows 系統(tǒng)自身攜帶的注冊(cè)表編輯器（Regedit.exe）備份和恢復(fù)注冊(cè)表數(shù)據(jù)庫(kù)。9.6.1 備份注冊(cè)表備份注冊(cè)表第1步 打開(kāi)注冊(cè)表編輯器，單擊菜單欄的【文件】菜單，在顯示的下拉菜單中，選擇【導(dǎo)出】命令，如圖9-18所示。圖9-18 【導(dǎo)出注冊(cè)表文件】對(duì)話框第2步 在【導(dǎo)出范圍】分組框中選擇【全部】單選按鈕，在【文件名】編輯框中鍵入注冊(cè)表數(shù)據(jù)庫(kù)的需要保存的目標(biāo)文件名，單擊【保存】按鈕，完成注冊(cè)表數(shù)據(jù)庫(kù)的保存，如圖9-19所示。圖9-19 【導(dǎo)出注冊(cè)表文件】對(duì)話框圖9-19 【導(dǎo)出注冊(cè)表文件】對(duì)話框9.6.2 恢復(fù)注冊(cè)表恢復(fù)注冊(cè)表第1步 打開(kāi)注冊(cè)表編輯器，單擊菜單欄的【文件】菜單，在顯示的下拉菜單中，選擇【導(dǎo)入】命令，如圖9-20所示。圖9-20 文件菜單第2步，在【導(dǎo)入注冊(cè)表文件】對(duì)話框中，選擇需要導(dǎo)入的注冊(cè)表數(shù)據(jù)庫(kù)備份文件的名稱，單擊【打開(kāi)】按鈕，執(zhí)行注冊(cè)表數(shù)據(jù)庫(kù)恢復(fù)操作。如圖9-21所示。圖9-21 【導(dǎo)入注冊(cè)表文件】對(duì)話框?qū)嵱?xùn)實(shí)訓(xùn):注冊(cè)表安全綜合實(shí)訓(xùn)注冊(cè)表安全綜合實(shí)訓(xùn)實(shí)訓(xùn)題目：注冊(cè)表安全配置及備份實(shí)訓(xùn)目的: 通過(guò)各種設(shè)置實(shí)現(xiàn)注冊(cè)表的安全性，掌握備份注冊(cè)表的方法。實(shí)訓(xùn)準(zhǔn)