由SAV引发的注册表权限问题[网络技术]

郑皓
===================================
大家都知道,通过改正系统时间,卡巴斯基互联网安全套装6.0就会提醒受权文件key过期,从而无法正常监控保护系统.而目前主流的修补办法是通过组战略把改正时间的一项设置拜候权限,比方删除全部受权用户,这样普通用户或管理员都无法改正系统时间.
关于Windows来说,注册表是保存系统、利用软件配置的数据库,随着Windows功效越来越丰富,注册表里的配置项目也越来越多,很多配置都是可以自定义设置的,但这些配置公布在注册表的各个角落,假如是手工配置,可想是多么艰难和烦杂.而组战略则将系统重要的配置功效堆积成各种配置模块,供管理人员直接利用,从而到达便利管理计算机的目的.简单点说,组战略就是改正注册表中的配置.上例回绝改正系统时间也是一样的原理,终究改正地是某注册表项的权限.
    由注册表权限引发的问题还不少,比方SymantecAntivirus.该杀毒软件基于系统底层,杀毒本领很强.如企业版客户端中LiveUpdate按钮变灰,前面有一个小锁标志,表示客户端会强迫自动进级病毒库及相关组件.凡按钮前有一个小锁标志的,表示用户均无权改正该项.这的确充分表现了企业版的上风:强迫性.而如此强盛的杀毒软件却有着不完善的地方,一句话:太依靠于注册表（这里以测试版8-9.0.0.X版为例）.我们只需窜改注册表中的几个键值,这款杀毒软件就失去了原有的功效.问题集合在"HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\LANDesk\VirusProtect6\CurrentVersion\Storages\Filesystem\RealTimeScan"下的键值中.比方若及时防护被禁用,软件会自动启用,默许自动启用时间为3分钟,用户无权窜改.目前将"APESleep"这个键值窜改,它对应多少分钟后重新启用及时监控.3b是16进制数,转换为10进制为59,当更改这个值为3b后,本来的3分钟就变成了59分钟,如图2所示.
 
图1
 
图2
       别忘了,这但是在企业版环境中,而更危险的还在背面.找到"APEOn-L"=dword:00000001,改成0,则小锁标志消逝,这样,普通用户也可更改这里的设置了.假如更改"APEOn-L"值为1,"APEOn"值为0 ,则"及时监控被禁用"的小勾去掉,并且前面有小锁的标志,这样在及时防护被禁用的情形下,程序将不会再自动启用及时监控,并且用户无法更改.默许状况下,及时监控是启用的,用户可以挑选启用及时监控或暂时禁用监控.禁用时,赛门铁克小鼠标形状的图标会加上一个红色的圈和一斜杠.而能否开启及时防护的键值为"OnOff",再改正"OnOff-L"值为1,更改这两个键值后,如图3所示,用户将无权启用防护功效!这对个人版一样实用.
  
图3
一样,FirstAction、FirstMacroAction、FileType、FileType-L、FirstMacroAction-L、FirstAction-L、Heuristics-L、HeuristicsLevel、Heuristics、PrescanExclude、Networks、MessageBox、NoScanDir这些键值中（没有全部列出）,若某些被黑客或病毒制造者所操纵,则会造成杀毒程序不能工作或失效.由于该软件本身没有对注册表举行保护,所以很简单就遭到破坏,使计算机失去原先强有力的保护.本人在此只是指出主要的键值及SAV企业版客户端（个人版也如此）存在这样的缺陷,以便大家在该软件呈现问题时可参阅并及时处理.
      当然,一个程序的各种设置若都表目前注册表里,这并非一个错误.但关于一款杀毒软件来说,不对注册表举行保护,一旦更改注册表,则程序的设置就被不法变更,这无论对企业版还是个人版杀毒工具都是一个亟待改良的地方.恶意程序要篡改注册表时会履行程序本身代码对注册表举行改正,更为躲藏.但杀毒软件的注册表监控程序不能,也不太大概对每次更改注册表的操作举行监控,只是对敏感区域举行监控.这是一个棘手的问题,既要答应合理程序改正注册表的操作,又要有效地避免恶意程序篡改重要的（包含杀毒软件自身相关的）键值.那该若何办理呢?本人仅提出自己的几点倡议.
1）可以考虑对注册表举行及时防护,更改注册表中对应键值的权限或杀毒软件的进程及时占用某个键值,如卡巴斯基,当更改其相关注册表键值时显示:相关键值被系统关键进程所占用,不能更改.
2）还可以从程序本身的开辟着手,使程序设置的更改时不触及到注册表.总之,也就是杀毒软件首先要实现自我保护,再去保护计算机,才能办理近似的问题.
3）设置注册表项的权限.这个不但软件的开辟者可以设置,自己也可以设置.启动注册表编辑器,在呼应的项上单击右键,挑选权限,之后撤消用户和组的担当,删除全部用户,最后后果如图4所示,即没有任何人能对注册表项举行更改,在该项内成立值时会提醒无法成立.大家也可以把上文提到的SAV触及到的关键注册项的权限设置为只读,不可更改,可暂时办理这个问题.
 
图4
   别的,也可以利用SetACL.exe 0.904、regini等工具举行对注册表权限举行设置,这里举荐SetACL工具.大家如果学过CCNA的话,应当知道ACL是拜候掌握列表的意思.该工具不但能对注册表举行权限设置,还可以对文件（夹）举行权限设置,近似Windows中的cacls号令,比方下面的号令示例.
SetACL.exe c:\xxx /dir /set everyone /read_ex
设置c:\xxx 文件夹everyone用户为读取和运行权限.
SetACL.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /registry /set everyone /full
设置注册表键值Run为完好掌握权限.
http://info-lib.net/post/20.html这里有中文帮忙文档.原始文件和英文帮忙介绍http://www.helge.mynetcologne.de/setacl/.
除了以上两种伎俩,API函数也可以实现regedit32改正注册表权限,关键函数以下:
//成立一个ACE,答应Everyone完好掌握对象,并答应子对象担当此权限
ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
BuildExplicitAccessWithName(&ea,"Everyone",KEY_ALL_ACCESS,SET_ACCESS,SUB_CONTAINERS_AND_OBJECTS_INHERIT);

综上所述,只要有Windows操作系统,就会有注册表（其实若把注册表当作是操作系统的系统配置文件的存储区,则同理其他操作系统平台上也会有近似的问题）,注册表的安全问题将是一个不朽的话题.SymantecAntivirus杀毒软件存在近似的问题,终归是需求改正的,要完善的.任何东西都是在不断的完善之中,让我们大家用自己智慧的双眼,去发现问题,办理问题