注冊(cè)表與安全有關(guān)的配置

1、精選優(yōu)質(zhì)文檔-傾情為你奉上1、 設(shè)置對(duì)注冊(cè)表工具(Regedit.exe)的運(yùn)行限制 保護(hù)注冊(cè)表不受未經(jīng)授權(quán)訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊(cè)表。對(duì)于服務(wù)器來說，這意味著要嚴(yán)格控制服務(wù)器的物理安全，只允許管理員本地登錄。對(duì)于其他系統(tǒng)，或者無法防止用戶本地登錄到服務(wù)器的情況下，則可以針對(duì)Regedit.exe和Reg.exe配置訪問權(quán)限，使其更安全。另外，我們也可以嘗試從系統(tǒng)中刪除注冊(cè)表編輯器以及Reg命令，但這會(huì)導(dǎo)致其他問題，造成管理員系統(tǒng)管理的麻煩，尤其是當(dāng)管理員需要從遠(yuǎn)程訪問注冊(cè)表的時(shí)候，這樣的做法有些自斷后路。我們可以采取一個(gè)比較折中的方法，就是修改注冊(cè)表編輯器的訪問權(quán)限，以

2、限制其它非授權(quán)用戶對(duì)其進(jìn)行訪問。訪問%SystemRoot%文件夾，找到注冊(cè)表編輯器程序Regedit.exe，右鍵單擊該工具選擇“屬性”。在屬性對(duì)話框中打開“安全”選項(xiàng)卡，可以看到如圖所示的界面。在該界面中我們根據(jù)需要添加或者刪除用戶或者組，然后設(shè)置其必要的訪問權(quán)限。這里的權(quán)限設(shè)置和對(duì)文件(文件夾)的權(quán)限設(shè)置是一樣的，我們可以選擇一個(gè)對(duì)象，然后允許或者拒絕特定的權(quán)限。除了Regedit.exe的設(shè)置外，我們還需要對(duì)命令行下的注冊(cè)表訪問工具Reg.exe進(jìn)權(quán)限設(shè)置。打開%SystemRoot%System32文件夾，用鼠標(biāo)右鍵單擊該程序，選擇“屬性”。同樣在屬性對(duì)話框中打開“安全”選項(xiàng)卡，默認(rèn)

3、情況下該命令可以被一般用戶管理員使用，我們可以根據(jù)需要在該界面中進(jìn)行用戶授權(quán)和權(quán)限設(shè)置。以筆者的經(jīng)驗(yàn)，大家不要通過組統(tǒng)一授權(quán)，因?yàn)檫@樣該組中的所有用戶都具有相應(yīng)的權(quán)限。我們可以刪除組，只為具體的用戶授權(quán)，這樣攻擊者通過添加到組實(shí)施對(duì)注冊(cè)表的控制就行不通了 需要說明的是，Windows系統(tǒng)中還有一個(gè)名為Regedit32的注冊(cè)表工具，其實(shí)這個(gè)工具只是一個(gè)到Regedit.exe的鏈接。如果我們?cè)O(shè)置了Regedit.exe的權(quán)限后，并不需要對(duì)Retdit32.exe也進(jìn)行類似的權(quán)限設(shè)置。2、 設(shè)置對(duì)注冊(cè)表鍵的訪問權(quán)限對(duì)于注冊(cè)表的權(quán)限控制，我們還可以具體到對(duì)注冊(cè)表鍵的訪問控制。對(duì)于注冊(cè)表鍵的權(quán)限設(shè)置

4、，我們除了可以直接進(jìn)行權(quán)限的編輯外，還可以使用安全模板進(jìn)配置。使用恰當(dāng)?shù)陌踩０宀粌H可以鎖定對(duì)注冊(cè)表的訪問，而且不要擔(dān)心錯(cuò)誤的設(shè)置會(huì)導(dǎo)致系統(tǒng)無法啟動(dòng)或應(yīng)用程序無法運(yùn)行。不過，通常情況下我們只是針對(duì)特定的注冊(cè)表鍵進(jìn)行權(quán)限控制，這時(shí)候只能通過直接進(jìn)行權(quán)限的編輯。具體方法是：運(yùn)行注冊(cè)表編輯器，找到要設(shè)置的鍵，用鼠標(biāo)右鍵單擊選擇“權(quán)限”，或者也可以首先選中該鍵然后從注冊(cè)表編輯器的“編輯”菜單中選擇“權(quán)限”也可，隨后會(huì)打開“SAM的權(quán)限”對(duì)話框。和文件權(quán)限的設(shè)置一樣，我們可安裝需要添加或刪除組和用戶，選中某個(gè)對(duì)象，設(shè)置拒絕或者允許某個(gè)權(quán)限。需要說明的是，很多權(quán)限是從更高級(jí)別的鍵繼承的，無法直接進(jìn)行修改。

5、要編輯其權(quán)限，需要單擊“高級(jí)”按鈕打開如圖所示的“SAM的高級(jí)安全設(shè)置”對(duì)話框。在此有4個(gè)選項(xiàng)卡：其中“權(quán)限”選項(xiàng)卡上的“繼承于”一欄顯示了這個(gè)權(quán)限是從哪里繼承來的，一般來說這些權(quán)限都是從目標(biāo)鍵的根鍵繼承下來的。我們?cè)趩螕簟按_定”應(yīng)該更改前，要考慮清楚是否應(yīng)該選擇“包括可以從該對(duì)象的父項(xiàng)繼承的權(quán)限”復(fù)選框。如果選擇，那么所選鍵以及其下級(jí)是所有子鍵的權(quán)限都好發(fā)生變化。“審核”選項(xiàng)卡下可對(duì)所選鍵配置審核。“所有者”選項(xiàng)卡下顯示所選鍵的當(dāng)前所有者，并且可以分配所有權(quán)。默認(rèn)情況下，只有所選鍵會(huì)受到影響，但如果希望針對(duì)當(dāng)前鍵的所有子鍵都有效，需要勾選“替換子容器和對(duì)象的所有者”選項(xiàng)?！坝行?quán)限”選項(xiàng)卡下

6、，可用于判斷當(dāng)前設(shè)置會(huì)對(duì)特定用戶或組應(yīng)用怎樣的權(quán)限，這個(gè)功能非常有用，而且在“權(quán)限”選項(xiàng)卡下對(duì)權(quán)限的修改在單擊“確定”或“應(yīng)用”之前會(huì)不會(huì)被應(yīng)用。3、 安全設(shè)置控制對(duì)注冊(cè)表的遠(yuǎn)程訪問Windows的注冊(cè)表不僅可本地訪問，還可遠(yuǎn)程訪問。因此，攻擊者或者未經(jīng)授權(quán)的用戶可能會(huì)像管理員一樣嘗試遠(yuǎn)程訪問系統(tǒng)的注冊(cè)表，這無疑會(huì)帶來極大的安全風(fēng)險(xiǎn)。通常情況下，對(duì)于個(gè)人系統(tǒng)我們不會(huì)遠(yuǎn)程訪問注冊(cè)表，那么就可以禁止注冊(cè)表的遠(yuǎn)程訪問?！伴_始”菜單中的“運(yùn)行”，輸入services.msc打開服務(wù)管理器，找到“Remote Registry”服務(wù)項(xiàng)，雙擊該項(xiàng)“停止”服務(wù)，并設(shè)置啟動(dòng)類型為“禁止”即可。不過，上述設(shè)置后

7、，就完全禁止了遠(yuǎn)程對(duì)注冊(cè)表的訪問。但有的時(shí)候，我們需要允許可遠(yuǎn)程訪問注冊(cè)表的某些鍵，該怎么辦呢?其實(shí)，我們還可通過修改注冊(cè)表鍵值的方法來控制對(duì)注冊(cè)表的遠(yuǎn)程訪問。這個(gè)注冊(cè)表鍵是“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”。在開啟了“Remote Registry”服務(wù)的Windows系統(tǒng)中就有該注冊(cè)表鍵，Windows使用該鍵的權(quán)限設(shè)置判斷哪些用戶可以遠(yuǎn)程訪問注冊(cè)表，而默認(rèn)情況下，通過驗(yàn)證的用戶都可以。事實(shí)上，通過驗(yàn)證的用戶對(duì)該鍵具有查詢數(shù)值、枚舉子鍵、通知和讀取的控制權(quán)限。因此，我們需要排除某些敏感的注冊(cè)表目錄，以防止被

8、遠(yuǎn)程惡意訪問。在“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”鍵先有個(gè)“AllowedPaths”鍵，其右側(cè)有個(gè)字符串注冊(cè)表鍵值“Machine”，雙擊該鍵值可以看到可遠(yuǎn)程訪問的注冊(cè)表鍵值路徑，在此我們可以根據(jù)需要添加或者刪除注冊(cè)表路徑，以實(shí)現(xiàn)對(duì)遠(yuǎn)程訪問注冊(cè)表路徑的控制下面做一些補(bǔ)充，筆者看到某些管理員基于安全需要關(guān)閉了注冊(cè)表的遠(yuǎn)程訪問功能，卻莫名其妙地造成了某些系統(tǒng)故障，這里做一說明。這時(shí)因?yàn)?，Windwos系統(tǒng)中的某些服務(wù)為了實(shí)現(xiàn)特殊的功能可能需要遠(yuǎn)程訪問注冊(cè)表，例如Directory Replicator服務(wù)已經(jīng)Sp

9、ooler服務(wù)，這樣在關(guān)閉了對(duì)注冊(cè)表的遠(yuǎn)程訪問會(huì)造成這些服務(wù)的運(yùn)行錯(cuò)誤。這樣我們一定要在限制對(duì)注冊(cè)表的遠(yuǎn)程訪問時(shí)，必須要繞過這些服務(wù)對(duì)遠(yuǎn)程注冊(cè)表訪問的限制。其做法是，將需要遠(yuǎn)程訪問注冊(cè)表的服務(wù)的賬戶名添加到Winreg鍵的訪問列表中，或者將需要遠(yuǎn)程訪問的注冊(cè)表鍵的路徑添加到AllowedPath值中。在Machine鍵下的Paths值可以讓計(jì)算機(jī)訪問列出的位置，Users鍵下的Paths值可以讓用戶訪問列出的位置。只要對(duì)這些鍵沒有明確的訪問限制，那么就可以進(jìn)行遠(yuǎn)程訪問。在修改完畢后，需要重新啟動(dòng)計(jì)算機(jī)這樣對(duì)注冊(cè)表的修改才可生效此外，對(duì)于Windows Vista和Windows Server

10、2008系統(tǒng)來說，我們可以通過“本地安全策略”控制臺(tái)啟用或者禁用注冊(cè)表的遠(yuǎn)程訪問，同時(shí)也可以設(shè)置用戶或組是否列在Winreg注冊(cè)表鍵的訪問控制列表(ACL)中。這里設(shè)置了很多默認(rèn)路徑，筆者建議不要輕易修改它們，除非你非常清楚你要進(jìn)行的操作。其操作方法是：依次單擊“開始”“管理工具”“本地安全策略”，打開本地安全策略控制臺(tái)。展開左窗格中的“本地策略”節(jié)點(diǎn)，然后選擇“安全選項(xiàng)”，在主窗格中可以看到列出了很多策略設(shè)置。在此，我們可以拖動(dòng)滾動(dòng)條，根據(jù)需要雙擊“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑”或“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑”選項(xiàng)。在屬性對(duì)話的“本地策略設(shè)置”選項(xiàng)卡上，可以看到允許遠(yuǎn)程訪問

11、的注冊(cè)表路徑以及子路徑列表。在此我們可按照需要添加或刪除路徑或者子路徑4、 部署審核監(jiān)視用戶對(duì)注冊(cè)表的操作審核是Windows系統(tǒng)的一項(xiàng)重要功能，就像對(duì)文件等其他系統(tǒng)項(xiàng)進(jìn)行審核一樣，我們也可注冊(cè)表的訪問進(jìn)行審核。據(jù)此我們可了解到哪些用戶訪問了注冊(cè)表，以及他對(duì)注冊(cè)表進(jìn)行了哪些操作。不過，啟用對(duì)注冊(cè)表的審核后會(huì)耗費(fèi)一定的系統(tǒng)性能。筆者建議，我們只選擇自己最關(guān)心的、必要的審核對(duì)象，以減少被寫入安全日志中的數(shù)據(jù)流，以此減少對(duì)系統(tǒng)性能帶來的負(fù)擔(dān)。要啟用對(duì)在注冊(cè)表的審核，先要啟用系統(tǒng)審核。為此，需要通過系統(tǒng)的本地安全策略或相應(yīng)的組策略對(duì)象進(jìn)行。cmd+ secpol.m運(yùn)行“本地計(jì)算機(jī)策略”控制臺(tái)，定位到

12、“計(jì)算機(jī)配置”“Windows 設(shè)置”“安全設(shè)置”“本地策略”“審核策略”節(jié)點(diǎn)下設(shè)置啟用系統(tǒng)審核策略。對(duì)系統(tǒng)啟用了審核后，即可配置希望對(duì)注冊(cè)表進(jìn)行審核的方式。我們可以設(shè)置對(duì)需要的注冊(cè)表鍵進(jìn)行監(jiān)控，此時(shí)我們可以利用繼承功能，這樣我們就不需要對(duì)注冊(cè)表中的每一個(gè)鍵進(jìn)行設(shè)置審核了。當(dāng)然，如果只需要對(duì)一個(gè)指定的根鍵或者子鍵作為開始的審核的起點(diǎn)，我們可以首先取消上面的繼承重新設(shè)置。比如，我們要對(duì)事關(guān)系統(tǒng)賬戶安全的HKLMSAM注冊(cè)表鍵進(jìn)行審核，可進(jìn)行如此操作。(圖6)圖6依次點(diǎn)擊“開始”“運(yùn)行”，輸入regedit.exe打開注冊(cè)表編輯器。定位到HKLMSAM注冊(cè)表鍵，右鍵單擊該鍵選擇“權(quán)限”打開“SAM的權(quán)限”對(duì)話框。帶該對(duì)話框中單擊“高級(jí)”按鈕，打開“SAM的高級(jí)安全設(shè)置”對(duì)話框，在對(duì)話框中打開“審核”選項(xiàng)卡，單擊“添加”按鈕進(jìn)入對(duì)話框，在此選擇要審核的用戶或組。審核的用戶或者組添加完畢后，單擊“確定”進(jìn)入“SAM的審核項(xiàng)目”對(duì)話框。在此，我們可以針對(duì)每個(gè)權(quán)限選擇要進(jìn)行的審核類型。如果希望跟蹤權(quán)限的成功使用，就選擇相應(yīng)的“成功”選項(xiàng);如果希望更正權(quán)限的失敗使