對于Windows系統(tǒng)來說，注冊表和系統(tǒng)的安全穩(wěn)定運行休戚相關(guān)。正因如此，它也成了系統(tǒng)的軟肋，任何不當操作或者惡意破壞都會造成災(zāi)難性的后果。其實，為了減少因為上述安全風(fēng)險，注冊表有一些內(nèi)建的安全限制(比如注冊表默認限制某些區(qū)域只能被特定用戶看到，例如HKLMSAM和HKLMSECURITY就只能被LocalSystem用戶看到)。但僅僅有這些安全措施還遠遠不能保證注冊表的安全，我們還應(yīng)該進行更加嚴格的安全控制。下面筆者和大家分享自己在這方面的一些經(jīng)驗。

說明：下面的所有操作是在Windows Server 2008上進行的，其中絕大多少適用于其他Windows系統(tǒng)，只有極少的部分是就要Server 2008的。

1、設(shè)置對注冊表工具(Regedit.exe)的運行限制

保護注冊表不受未經(jīng)授權(quán)訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊表。對于服務(wù)器來說，這意味著要嚴格控制服務(wù)器的物理安全，只允許管理員本地登錄。對于其他系統(tǒng)，或者無法防止用戶本地登錄到服務(wù)器的情況下，則可以針對Regedit.exe和Reg.exe配置訪問權(quán)限，使其更安全。另外，我們也可以嘗試從系統(tǒng)中刪除注冊表編輯器以及Reg命令，但這會導(dǎo)致其他問題，造成管理員系統(tǒng)管理的麻煩，尤其是當管理員需要從遠程訪問注冊表的時候，這樣的做法有些自斷后路。

我們可以采取一個比較折中的方法，就是修改注冊表編輯器的訪問權(quán)限，以限制其它非授權(quán)用戶對其進行訪問。訪問%SystemRoot%文件夾，找到注冊表編輯器程序Regedit.exe，右鍵單擊該工具選擇“屬性”。在屬性對話框中打開“安全”選項卡，可以看到如圖所示的界面。在該界面中我們根據(jù)需要添加或者刪除用戶或者組，然后設(shè)置其必要的訪問權(quán)限。這里的權(quán)限設(shè)置和對文件(文件夾)的權(quán)限設(shè)置是一樣的，我們可以選擇一個對象，然后允許或者拒絕特定的權(quán)限。除了Regedit.exe的設(shè)置外，我們還需要對命令行下的注冊表訪問工具Reg.exe進權(quán)限設(shè)置。打開%SystemRoot%System32文件夾，用鼠標右鍵單擊該程序，選擇“屬性”。同樣在屬性對話框中打開“安全”選項卡，默認情況下該命令可以被一般用戶管理員使用，我們可以根據(jù)需要在該界面中進行用戶授權(quán)和權(quán)限設(shè)置。以筆者的經(jīng)驗，大家不要通過組統(tǒng)一授權(quán)，因為這樣該組中的所有用戶都具有相應(yīng)的權(quán)限。我們可以刪除組，只為具體的用戶授權(quán)，這樣攻擊者通過添加到組實施對注冊表的控制就行不通了。(圖1)

　　

圖1

需要說明的是，Windows系統(tǒng)中還有一個名為Regedit32的注冊表工具，其實這個工具只是一個到Regedit.exe的鏈接。如果我們設(shè)置了Regedit.exe的權(quán)限后，并不需要對Retdit32.exe也進行類似的權(quán)限設(shè)置。

#p#2、設(shè)置對注冊表鍵的訪問權(quán)限

對于注冊表的權(quán)限控制，我們還可以具體到對注冊表鍵的訪問控制。對于注冊表鍵的權(quán)限設(shè)置，我們除了可以直接進行權(quán)限的編輯外，還可以使用安全模板進配置。使用恰當?shù)陌踩０宀粌H可以鎖定對注冊表的訪問，而且不要擔(dān)心錯誤的設(shè)置會導(dǎo)致系統(tǒng)無法啟動或應(yīng)用程序無法運行。

不過，通常情況下我們只是針對特定的注冊表鍵進行權(quán)限控制，這時候只能通過直接進行權(quán)限的編輯。具體方法是：運行注冊表編輯器，找到要設(shè)置的鍵，用鼠標右鍵單擊選擇“權(quán)限”，或者也可以首先選中該鍵然后從注冊表編輯器的“編輯”菜單中選擇“權(quán)限”也可，隨后會打開“SAM的權(quán)限”對話框。和文件權(quán)限的設(shè)置一樣，我們可安裝需要添加或刪除組和用戶，選中某個對象，設(shè)置拒絕或者允許某個權(quán)限。

需要說明的是，很多權(quán)限是從更高級別的鍵繼承的，無法直接進行修改。要編輯其權(quán)限，需要單擊“高級”按鈕打開如圖所示的“SAM的高級安全設(shè)置”對話框。在此有4個選項卡：其中“權(quán)限”選項卡上的“繼承于”一欄顯示了這個權(quán)限是從哪里繼承來的，一般來說這些權(quán)限都是從目標鍵的根鍵繼承下來的。我們在單擊“確定”應(yīng)該更改前，要考慮清楚是否應(yīng)該選擇“包括可以從該對象的父項繼承的權(quán)限”復(fù)選框。如果選擇，那么所選鍵以及其下級是所有子鍵的權(quán)限都好發(fā)生變化?！皩徍恕边x項卡下可對所選鍵配置審核?！八姓摺边x項卡下顯示所選鍵的當前所有者，并且可以分配所有權(quán)。默認情況下，只有所選鍵會受到影響，但如果希望針對當前鍵的所有子鍵都有效，需要勾選“替換子容器和對象的所有者”選項?！坝行?quán)限”選項卡下，可用于判斷當前設(shè)置會對特定用戶或組應(yīng)用怎樣的權(quán)限，這個功能非常有用，而且在“權(quán)限”選項卡下對權(quán)限的修改在單擊“確定”或“應(yīng)用”之前會不會被應(yīng)用。(圖2)

　　

圖2

3、安全設(shè)置控制對注冊表的遠程訪問

Windows的注冊表不僅可本地訪問，還可遠程訪問。因此，攻擊者或者未經(jīng)授權(quán)的用戶可能會像管理員一樣嘗試遠程訪問系統(tǒng)的注冊表，這無疑會帶來極大的安全風(fēng)險。通常情況下，對于個人系統(tǒng)我們不會遠程訪問注冊表，那么就可以禁止注冊表的遠程訪問。

“開始”菜單中的“運行”，輸入services.msc打開服務(wù)管理器，找到“Remote Registry”服務(wù)項，雙擊該項“停止”服務(wù)，并設(shè)置啟動類型為“禁止”即可。不過，上述設(shè)置后，就完全禁止了遠程對注冊表的訪問。但有的時候，我們需要允許可遠程訪問注冊表的某些鍵，該怎么辦呢?其實，我們還可通過修改注冊表鍵值的方法來控制對注冊表的遠程訪問。這個注冊表鍵是“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”。在開啟了“Remote Registry”服務(wù)的Windows系統(tǒng)中就有該注冊表鍵，Windows使用該鍵的權(quán)限設(shè)置判斷哪些用戶可以遠程訪問注冊表，而默認情況下，通過驗證的用戶都可以。事實上，通過驗證的用戶對該鍵具有查詢數(shù)值、枚舉子鍵、通知和讀取的控制權(quán)限。因此，我們需要排除某些敏感的注冊表目錄，以防止被遠程惡意訪問。在“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”鍵先有個“AllowedPaths”鍵，其右側(cè)有個字符串注冊表鍵值“Machine”，雙擊該鍵值可以看到可遠程訪問的注冊表鍵值路徑，在此我們可以根據(jù)需要添加或者刪除注冊表路徑，以實現(xiàn)對遠程訪問注冊表路徑的控制。(圖3)

　　

圖3

下面做一些補充，筆者看到某些管理員基于安全需要關(guān)閉了注冊表的遠程訪問功能，卻莫名其妙地造成了某些系統(tǒng)故障，這里做一說明。這時因為，Windwos系統(tǒng)中的某些服務(wù)為了實現(xiàn)特殊的功能可能需要遠程訪問注冊表，例如Directory Replicator服務(wù)已經(jīng)Spooler服務(wù)，這樣在關(guān)閉了對注冊表的遠程訪問會造成這些服務(wù)的運行錯誤。這樣我們一定要在限制對注冊表的遠程訪問時，必須要繞過這些服務(wù)對遠程注冊表訪問的限制。其做法是，將需要遠程訪問注冊表的服務(wù)的賬戶名添加到Winreg鍵的訪問列表中，或者將需要遠程訪問的注冊表鍵的路徑添加到AllowedPath值中。在Machine鍵下的Paths值可以讓計算機訪問列出的位置，Users鍵下的Paths值可以讓用戶訪問列出的位置。只要對這些鍵沒有明確的訪問限制，那么就可以進行遠程訪問。在修改完畢后，需要重新啟動計算機這樣對注冊表的修改才可生效。(圖4)

　　

圖4

此外，對于Windows Vista和Windows Server 2008系統(tǒng)來說，我們可以通過“本地安全策略”控制臺啟用或者禁用注冊表的遠程訪問，同時也可以設(shè)置用戶或組是否列在Winreg注冊表鍵的訪問控制列表(ACL)中。這里設(shè)置了很多默認路徑，筆者建議不要輕易修改它們，除非你非常清楚你要進行的操作。其操作方法是：依次單擊“開始”→“管理工具”→“本地安全策略”，打開本地安全策略控制臺。展開左窗格中的“本地策略”節(jié)點，然后選擇“安全選項”，在主窗格中可以看到列出了很多策略設(shè)置。在此，我們可以拖動滾動條，根據(jù)需要雙擊“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑”或“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑”選項。在屬性對話的“本地策略設(shè)置”選項卡上，可以看到允許遠程訪問的注冊表路徑以及子路徑列表。在此我們可按照需要添加或刪除路徑或者子路徑。

　　

圖5

#p#4、部署審核監(jiān)視用戶對注冊表的操作

審核是Windows系統(tǒng)的一項重要功能，就像對文件等其他系統(tǒng)項進行審核一樣，我們也可注冊表的訪問進行審核。據(jù)此我們可了解到哪些用戶訪問了注冊表，以及他對注冊表進行了哪些操作。不過，啟用對注冊表的審核后會耗費一定的系統(tǒng)性能。筆者建議，我們只選擇自己最關(guān)心的、必要的審核對象，以減少被寫入安全日志中的數(shù)據(jù)流，以此減少對系統(tǒng)性能帶來的負擔(dān)。

要啟用對在注冊表的審核，先要啟用系統(tǒng)審核。為此，需要通過系統(tǒng)的本地安全策略或相應(yīng)的組策略對象進行。運行“本地計算機策略”控制臺，定位到“計算機配置”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”節(jié)點下設(shè)置啟用系統(tǒng)審核策略。對系統(tǒng)啟用了審核后，即可配置希望對注冊表進行審核的方式。我們可以設(shè)置對需要的注冊表鍵進行監(jiān)控，此時我們可以利用繼承功能，這樣我們就不需要對注冊表中的每一個鍵進行設(shè)置審核了。當然，如果只需要對一個指定的根鍵或者子鍵作為開始的審核的起點，我們可以首先取消上面的繼承重新設(shè)置。比如，我們要對事關(guān)系統(tǒng)賬戶安全的HKLMSAM注冊表鍵進行審核，可進行如此操作。(圖6)

　　

圖6

依次點擊“開始”→“運行”，輸入regedit.exe打開注冊表編輯器。定位到HKLMSAM注冊表鍵，右鍵單擊該鍵選擇“權(quán)限”打開“SAM的權(quán)限”對話框。帶該對話框中單擊“高級”按鈕，打開“SAM的高級安全設(shè)置”對話框，在對話框中打開“審核”選項卡，單擊“添加”按鈕進入對話框，在此選擇要審核的用戶或組。審核的用戶或者組添加完畢后，單擊“確定”進入“SAM的審核項目”對話框。在此，我們可以針對每個權(quán)限選擇要進行的審核類型。如果希望跟蹤權(quán)限的成功使用，就選擇相應(yīng)的“成功”選項;如果希望更正權(quán)限的失敗使用，則選擇相應(yīng)的“失敗”選項。設(shè)置完畢后單擊“確定”關(guān)閉該對話框。對于其他用戶或者組的審核設(shè)置，方法類似。需要說明的是，如果希望將審核應(yīng)用于所有子鍵，需選中“包括可以從該對象的父項繼承的審核項目”選項。(圖7)

　　

圖7

總結(jié)：上面從4個方面和大家分享了自己在Windows注冊表安全管理方面的一些經(jīng)驗，應(yīng)該說囊括了注冊表管理的主要方面。另外，不少管理員采用的通過組策略禁用注冊表，也不失為一項安全措施。

【編輯推薦】

1. Windows 7 build 7229 x86/x64泄漏下載
2. 歐洲特別版Windows 7徹底剝離IE瀏覽器
3. Windows 7 Manager1.0.3更新功能更多