對於Windows系統來說注冊表和系統的安全穩定運行休戚相關正因如此它也成了系統的軟肋任何不當操作或者惡意破壞都會造成災難性的後果其實為了減少因為上述安全風險注冊表有一些內建的安全限制(比如注冊表默認限制某些區域只能被特定用戶看到例如HKLMSAM和HKLMSECURITY就只能被LocalSystem用戶看到)但僅僅有這些安全措施還遠遠不能保證注冊表的安全我們還應該進行更加嚴格的安全控制下面筆者和大家分享自己在這方面的一些經驗
說明下面的所有操作是在Windows Server 上進行的其中絕大多少適用於其他Windows系統只有極少的部分是就要Server 的
設置對注冊表工具(Regeditexe)的運行限制
保護注冊表不受未經授權訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊表對於服務器來說這意味著要嚴格控制服務器的物理安全只允許管理員本地登錄對於其他系統或者無法防止用戶本地登錄到服務器的情況下則可以針對Regeditexe和Regexe配置訪問權限使其更安全另外我們也可以嘗試從系統中刪除注冊表編輯器以及Reg命令但這會導致其他問題造成管理員系統管理的麻煩尤其是當管理員需要從遠程訪問注冊表的時候這樣的做法有些自斷後路
我們可以采取一個比較折中的方法就是修改注冊表編輯器的訪問權限以限制其它非授權用戶對其進行訪問訪問%SystemRoot%文件夾找到注冊表編輯器程序Regeditexe右鍵單擊該工具選擇屬性在屬性對話框中打開安全選項卡可以看到如圖所示的界面在該界面中我們根據需要添加或者刪除用戶或者組然後設置其必要的訪問權限這裡的權限設置和對文件(文件夾)的權限設置是一樣的我們可以選擇一個對象然後允許或者拒絕特定的權限除了Regeditexe的設置外我們還需要對命令行下的注冊表訪問工具Regexe進權限設置打開%SystemRoot%System文件夾用鼠標右鍵單擊該程序選擇屬性同樣在屬性對話框中打開安全選項卡默認情況下該命令可以被一般用戶管理員使用我們可以根據需要在該界面中進行用戶授權和權限設置以筆者的經驗大家不要通過組統一授權因為這樣該組中的所有用戶都具有相應的權限我們可以刪除組只為具體的用戶授權這樣攻擊者通過添加到組實施對注冊表的控制就行不通了(圖)
Windows系統管理免費提供,內容來源於互聯網,本文歸原作者所有。
