多点出击加强Windows系统注册表的安全[Windows安全]

　　关于Windows系统来说,注册表和系统的安全安定运行休戚相关.正因如此,它也成了系统的软肋,任何不当操作大概恶意破坏城市造成灾难性的后果.其实,为了削减因为上述安全风险,注册表有一些内建的安全限制(比方注册表默许限制某些区域只能被特定用户看到,比方HKLMSAM和HKLMSECURITY就只能被LocalSystem用户看到).但仅唯一这些安全办法还远远不能保证注册表的安全,我们还应当举行越发严峻的安全掌握.下面笔者和大家分享自己在这方面的一些经验.

　　阐明:下面的全部操作是在Windows Server 2008上举行的,此中绝大多少实用于其他Windows系统,只有极少的部份是就要Server 2008的.

　　1、设置对注册表工具(Regedit.exe)的运行限制

　　保护注册表不受未经受权拜候的做好办法之一是让恶意用户根本无法拜候注册表.关于服务器来说,这意味着要严峻掌握服务器的物理安全,只答应管理员本地登录.关于其他系统,大概无法避免用户本地登录到服务器的情形下,则可以针对Regedit.exe和Reg.exe配置拜候权限,使其更安全.别的,我们也可以尝试从系统中删除注册表编辑器以及Reg号令,但这会招致其他问题,造成管理员系统管理的麻烦,特别是当管理员需求从远程拜候注册表的时刻,这样的做法有些自断后路.

　　我们可以采纳一个对比折中的办法,就是改正注册表编辑器的拜候权限,以限制别的非受权用户对其举行拜候.拜候%SystemRoot%文件夹,找到注册表编辑器程序Regedit.exe,右键单击该工具挑选"属性".在属性对话框中翻开"安全"选项卡,可以看到如图所示的界面.在该界面中我们按照需求增添大概删除用户大概组,然后设置其必要的拜候权限.这里的权限设置和对文件(文件夹)的权限设置是一样的,我们可以挑选一个对象,然后答应大概回绝特定的权限.除了Regedit.exe的设置外,我们还需求对号令行下的注册表拜候工具Reg.exe进权限设置.翻开%SystemRoot%System32文件夹,用鼠标右键单击该程序,挑选"属性".一样在属性对话框中翻开"安全"选项卡,默许情形下该号令可以被普通用户管理员利用,我们可以按照需求在该界面中举行用户受权和权限设置.以笔者的经验,大家不要通过组统一受权,因为这样该组中的全部用户都具有呼应的权限.我们可以删除组,只为具体的用户受权,这样攻击者通过增添到组实施对注册表的掌握就行不通了.(图1)

图1

　　需求阐明的是,Windows系统中还有一个名为Regedit32的注册表工具,其实这个工具只是一个到Regedit.exe的链接.假如我们设置了Regedit.exe的权限后,并不需求对Retdit32.exe也举行近似的权限设置.

　　2、设置对注册表键的拜候权限

　　关于注册表的权限掌握,我们还可以具体到对注册表键的拜候掌握.关于注册表键的权限设置,我们除了可以直接举行权限的编辑外,还可以利用安全模板进配置.利用得当的安全模板不但可以锁定对注册表的拜候,并且不要耽忧错误的设置会招致系统无法启动或利用程序无法运行.

　　不过,普通情形下我们只是针对特定的注册表键举行权限掌握,这时刻只能通过直接举行权限的编辑.具体办法是:运行注册表编辑器,找到要设置的键,用鼠标右键单击挑选"权限",大概也可以首先选中该键然后从注册表编辑器的"编辑"菜单中挑选"权限"也可,随后会翻开"SAM的权限"对话框.和文件权限的设置一样,我们可安装需求增添或删除组和用户,选中某个对象,设置回绝大概答应某个权限.

　　需求阐明的是,很多权限是从更高级别的键担当的,无法直接举行改正.要编辑其权限,需求单击"高级"按钮翻开如图所示的"SAM的高级安全设置"对话框.在此有4个选项卡:此中"权限"选项卡上的"担当于"一栏显示了这个权限是从那边担当来的,普通来说这些权限都是从目标键的根键担当下来的.我们在单击"肯定"应当更改前,要考虑清楚能否应当挑选"包含可以从该对象的父项担当的权限"复选框.假如挑选,那么所选键以及其下级是全部子键的权限都好发生改变."考核"选项卡下可对所选键配置考核."全部者"选项卡下显示所选键的当前全部者,并且可以分配全部权.默许情形下,只有所选键会遭到影响,但假如但愿针对当前键的全部子键都有效,需求勾选"替换子容器和对象的全部者"选项."有效权限"选项卡下,可用于判断当前设置会对特定用户或组利用怎样的权限,这个功效非常有效,并且在"权限"选项卡下对权限的改正在单击"肯定"或"利用"之前会不会被利用.(图2)

图2

　　3、安全设置掌握对注册表的远程拜候

　　Windows的注册表不但可本地拜候,还可远程拜候.因此,攻击者大概未经受权的用户大概会像管理员一样尝试远程拜候系统的注册表,这无疑会带来极大的安全风险.普通情形下,关于个人系统我们不会远程拜候注册表,那么便可以禁止注册表的远程拜候.

　　"开始"菜单中的"运行",输入services.msc翻开服务管理器,找到"Remote Registry"服务项,双击该项"终止"服务,并设置启动范例为"禁止"便可.不过,上述设置后,就完好禁止了远程对注册表的拜候.但有的时刻,我们需求允答应远程拜候注册表的某些键,该怎么办呢?其实,我们还可通过改正注册表键值的办法来掌握对注册表的远程拜候.这个注册表键是"HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg".在开启了"Remote Registry"服务的Windows系统中就有该注册表键,Windows利用该键的权限设置判断哪些用户可以远程拜候注册表,而默许情形下,通过考证的用户都可以.事实上,通过考证的用户对该键具有查询数值、列举子键、告诉和读取的掌握权限.因此,我们需求解除某些敏感的注册表目录,以避免被远程恶意拜候.在"HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg"键先有个"AllowedPaths"键,其右侧有个字符串注册表键值"Machine",双击该键值可以看到可远程拜候的注册表键值途径,在此我们可以按照需求增添大概删除注册表途径,以实现对远程拜候注册表途径的掌握.(图3)

图3