多點(diǎn)出擊加強(qiáng)Windows系統(tǒng)注冊表的安全
說明:下面的所有操作是在Windows Server 2008上進(jìn)行的,其中絕大多少適用于其他Windows系統(tǒng),只有極少的部分是就要Server 2008的。
1、設(shè)置對注冊表工具(Regedit.exe)的運(yùn)行限制
保護(hù)注冊表不受未經(jīng)授權(quán)訪問的做好辦法之一是讓惡意用戶根本無法訪問注冊表。對于服務(wù)器來說,這意味著要嚴(yán)格控制服務(wù)器的物理安全,只允許管理員本地登錄。對于其他系統(tǒng),或者無法防止用戶本地登錄到服務(wù)器的情況下,則可以針對Regedit.exe和Reg.exe配置訪問權(quán)限,使其更安全。另外,我們也可以嘗試從系統(tǒng)中刪除注冊表編輯器以及Reg命令,但這會(huì)導(dǎo)致其他問題,造成管理員系統(tǒng)管理的麻煩,尤其是當(dāng)管理員需要從遠(yuǎn)程訪問注冊表的時(shí)候,這樣的做法有些自斷后路。
我們可以采取一個(gè)比較折中的方法,就是修改注冊表編輯器的訪問權(quán)限,以限制其它非授權(quán)用戶對其進(jìn)行訪問。訪問%SystemRoot%文件夾,找到注冊表編輯器程序Regedit.exe,右鍵單擊該工具選擇“屬性”。在屬性對話框中打開“安全”選項(xiàng)卡,可以看到如圖所示的界面。在該界面中我們根據(jù)需要添加或者刪除用戶或者組,然后設(shè)置其必要的訪問權(quán)限。這里的權(quán)限設(shè)置和對文件(文件夾)的權(quán)限設(shè)置是一樣的,我們可以選擇一個(gè)對象,然后允許或者拒絕特定的權(quán)限。除了Regedit.exe的設(shè)置外,我們還需要對命令行下的注冊表訪問工具Reg.exe進(jìn)權(quán)限設(shè)置。打開%SystemRoot%System32文件夾,用鼠標(biāo)右鍵單擊該程序,選擇“屬性”。同樣在屬性對話框中打開“安全”選項(xiàng)卡,默認(rèn)情況下該命令可以被一般用戶管理員使用,我們可以根據(jù)需要在該界面中進(jìn)行用戶授權(quán)和權(quán)限設(shè)置。以筆者的經(jīng)驗(yàn),大家不要通過組統(tǒng)一授權(quán),因?yàn)檫@樣該組中的所有用戶都具有相應(yīng)的權(quán)限。我們可以刪除組,只為具體的用戶授權(quán),這樣攻擊者通過添加到組實(shí)施對注冊表的控制就行不通了。(圖1)
圖1
需要說明的是,Windows系統(tǒng)中還有一個(gè)名為Regedit32的注冊表工具,其實(shí)這個(gè)工具只是一個(gè)到Regedit.exe的鏈接。如果我們設(shè)置了Regedit.exe的權(quán)限后,并不需要對Retdit32.exe也進(jìn)行類似的權(quán)限設(shè)置。
#p#2、設(shè)置對注冊表鍵的訪問權(quán)限
對于注冊表的權(quán)限控制,我們還可以具體到對注冊表鍵的訪問控制。對于注冊表鍵的權(quán)限設(shè)置,我們除了可以直接進(jìn)行權(quán)限的編輯外,還可以使用安全模板進(jìn)配置。使用恰當(dāng)?shù)陌踩0宀粌H可以鎖定對注冊表的訪問,而且不要擔(dān)心錯(cuò)誤的設(shè)置會(huì)導(dǎo)致系統(tǒng)無法啟動(dòng)或應(yīng)用程序無法運(yùn)行。
不過,通常情況下我們只是針對特定的注冊表鍵進(jìn)行權(quán)限控制,這時(shí)候只能通過直接進(jìn)行權(quán)限的編輯。具體方法是:運(yùn)行注冊表編輯器,找到要設(shè)置的鍵,用鼠標(biāo)右鍵單擊選擇“權(quán)限”,或者也可以首先選中該鍵然后從注冊表編輯器的“編輯”菜單中選擇“權(quán)限”也可,隨后會(huì)打開“SAM的權(quán)限”對話框。和文件權(quán)限的設(shè)置一樣,我們可安裝需要添加或刪除組和用戶,選中某個(gè)對象,設(shè)置拒絕或者允許某個(gè)權(quán)限。
需要說明的是,很多權(quán)限是從更高級別的鍵繼承的,無法直接進(jìn)行修改。要編輯其權(quán)限,需要單擊“高級”按鈕打開如圖所示的“SAM的高級安全設(shè)置”對話框。在此有4個(gè)選項(xiàng)卡:其中“權(quán)限”選項(xiàng)卡上的“繼承于”一欄顯示了這個(gè)權(quán)限是從哪里繼承來的,一般來說這些權(quán)限都是從目標(biāo)鍵的根鍵繼承下來的。我們在單擊“確定”應(yīng)該更改前,要考慮清楚是否應(yīng)該選擇“包括可以從該對象的父項(xiàng)繼承的權(quán)限”復(fù)選框。如果選擇,那么所選鍵以及其下級是所有子鍵的權(quán)限都好發(fā)生變化。“審核”選項(xiàng)卡下可對所選鍵配置審核。“所有者”選項(xiàng)卡下顯示所選鍵的當(dāng)前所有者,并且可以分配所有權(quán)。默認(rèn)情況下,只有所選鍵會(huì)受到影響,但如果希望針對當(dāng)前鍵的所有子鍵都有效,需要勾選“替換子容器和對象的所有者”選項(xiàng)。“有效權(quán)限”選項(xiàng)卡下,可用于判斷當(dāng)前設(shè)置會(huì)對特定用戶或組應(yīng)用怎樣的權(quán)限,這個(gè)功能非常有用,而且在“權(quán)限”選項(xiàng)卡下對權(quán)限的修改在單擊“確定”或“應(yīng)用”之前會(huì)不會(huì)被應(yīng)用。(圖2)
圖2
3、安全設(shè)置控制對注冊表的遠(yuǎn)程訪問
Windows的注冊表不僅可本地訪問,還可遠(yuǎn)程訪問。因此,攻擊者或者未經(jīng)授權(quán)的用戶可能會(huì)像管理員一樣嘗試遠(yuǎn)程訪問系統(tǒng)的注冊表,這無疑會(huì)帶來極大的安全風(fēng)險(xiǎn)。通常情況下,對于個(gè)人系統(tǒng)我們不會(huì)遠(yuǎn)程訪問注冊表,那么就可以禁止注冊表的遠(yuǎn)程訪問。
“開始”菜單中的“運(yùn)行”,輸入services.msc打開服務(wù)管理器,找到“Remote Registry”服務(wù)項(xiàng),雙擊該項(xiàng)“停止”服務(wù),并設(shè)置啟動(dòng)類型為“禁止”即可。不過,上述設(shè)置后,就完全禁止了遠(yuǎn)程對注冊表的訪問。但有的時(shí)候,我們需要允許可遠(yuǎn)程訪問注冊表的某些鍵,該怎么辦呢?其實(shí),我們還可通過修改注冊表鍵值的方法來控制對注冊表的遠(yuǎn)程訪問。這個(gè)注冊表鍵是“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”。在開啟了“Remote Registry”服務(wù)的Windows系統(tǒng)中就有該注冊表鍵,Windows使用該鍵的權(quán)限設(shè)置判斷哪些用戶可以遠(yuǎn)程訪問注冊表,而默認(rèn)情況下,通過驗(yàn)證的用戶都可以。事實(shí)上,通過驗(yàn)證的用戶對該鍵具有查詢數(shù)值、枚舉子鍵、通知和讀取的控制權(quán)限。因此,我們需要排除某些敏感的注冊表目錄,以防止被遠(yuǎn)程惡意訪問。在“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”鍵先有個(gè)“AllowedPaths”鍵,其右側(cè)有個(gè)字符串注冊表鍵值“Machine”,雙擊該鍵值可以看到可遠(yuǎn)程訪問的注冊表鍵值路徑,在此我們可以根據(jù)需要添加或者刪除注冊表路徑,以實(shí)現(xiàn)對遠(yuǎn)程訪問注冊表路徑的控制。(圖3)
圖3
下面做一些補(bǔ)充,筆者看到某些管理員基于安全需要關(guān)閉了注冊表的遠(yuǎn)程訪問功能,卻莫名其妙地造成了某些系統(tǒng)故障,這里做一說明。這時(shí)因?yàn)椋琖indwos系統(tǒng)中的某些服務(wù)為了實(shí)現(xiàn)特殊的功能可能需要遠(yuǎn)程訪問注冊表,例如Directory Replicator服務(wù)已經(jīng)Spooler服務(wù),這樣在關(guān)閉了對注冊表的遠(yuǎn)程訪問會(huì)造成這些服務(wù)的運(yùn)行錯(cuò)誤。這樣我們一定要在限制對注冊表的遠(yuǎn)程訪問時(shí),必須要繞過這些服務(wù)對遠(yuǎn)程注冊表訪問的限制。其做法是,將需要遠(yuǎn)程訪問注冊表的服務(wù)的賬戶名添加到Winreg鍵的訪問列表中,或者將需要遠(yuǎn)程訪問的注冊表鍵的路徑添加到AllowedPath值中。在Machine鍵下的Paths值可以讓計(jì)算機(jī)訪問列出的位置,Users鍵下的Paths值可以讓用戶訪問列出的位置。只要對這些鍵沒有明確的訪問限制,那么就可以進(jìn)行遠(yuǎn)程訪問。在修改完畢后,需要重新啟動(dòng)計(jì)算機(jī)這樣對注冊表的修改才可生效。(圖4)
圖4
此外,對于Windows Vista和Windows Server 2008系統(tǒng)來說,我們可以通過“本地安全策略”控制臺(tái)啟用或者禁用注冊表的遠(yuǎn)程訪問,同時(shí)也可以設(shè)置用戶或組是否列在Winreg注冊表鍵的訪問控制列表(ACL)中。這里設(shè)置了很多默認(rèn)路徑,筆者建議不要輕易修改它們,除非你非常清楚你要進(jìn)行的操作。其操作方法是:依次單擊“開始”→“管理工具”→“本地安全策略”,打開本地安全策略控制臺(tái)。展開左窗格中的“本地策略”節(jié)點(diǎn),然后選擇“安全選項(xiàng)”,在主窗格中可以看到列出了很多策略設(shè)置。在此,我們可以拖動(dòng)滾動(dòng)條,根據(jù)需要雙擊“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑”或“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑”選項(xiàng)。在屬性對話的“本地策略設(shè)置”選項(xiàng)卡上,可以看到允許遠(yuǎn)程訪問的注冊表路徑以及子路徑列表。在此我們可按照需要添加或刪除路徑或者子路徑。
圖5
#p#4、部署審核監(jiān)視用戶對注冊表的操作
審核是Windows系統(tǒng)的一項(xiàng)重要功能,就像對文件等其他系統(tǒng)項(xiàng)進(jìn)行審核一樣,我們也可注冊表的訪問進(jìn)行審核。據(jù)此我們可了解到哪些用戶訪問了注冊表,以及他對注冊表進(jìn)行了哪些操作。不過,啟用對注冊表的審核后會(huì)耗費(fèi)一定的系統(tǒng)性能。筆者建議,我們只選擇自己最關(guān)心的、必要的審核對象,以減少被寫入安全日志中的數(shù)據(jù)流,以此減少對系統(tǒng)性能帶來的負(fù)擔(dān)。
要啟用對在注冊表的審核,先要啟用系統(tǒng)審核。為此,需要通過系統(tǒng)的本地安全策略或相應(yīng)的組策略對象進(jìn)行。運(yùn)行“本地計(jì)算機(jī)策略”控制臺(tái),定位到“計(jì)算機(jī)配置”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”節(jié)點(diǎn)下設(shè)置啟用系統(tǒng)審核策略。對系統(tǒng)啟用了審核后,即可配置希望對注冊表進(jìn)行審核的方式。我們可以設(shè)置對需要的注冊表鍵進(jìn)行監(jiān)控,此時(shí)我們可以利用繼承功能,這樣我們就不需要對注冊表中的每一個(gè)鍵進(jìn)行設(shè)置審核了。當(dāng)然,如果只需要對一個(gè)指定的根鍵或者子鍵作為開始的審核的起點(diǎn),我們可以首先取消上面的繼承重新設(shè)置。比如,我們要對事關(guān)系統(tǒng)賬戶安全的HKLMSAM注冊表鍵進(jìn)行審核,可進(jìn)行如此操作。(圖6)
圖6
依次點(diǎn)擊“開始”→“運(yùn)行”,輸入regedit.exe打開注冊表編輯器。定位到HKLMSAM注冊表鍵,右鍵單擊該鍵選擇“權(quán)限”打開“SAM的權(quán)限”對話框。帶該對話框中單擊“高級”按鈕,打開“SAM的高級安全設(shè)置”對話框,在對話框中打開“審核”選項(xiàng)卡,單擊“添加”按鈕進(jìn)入對話框,在此選擇要審核的用戶或組。審核的用戶或者組添加完畢后,單擊“確定”進(jìn)入“SAM的審核項(xiàng)目”對話框。在此,我們可以針對每個(gè)權(quán)限選擇要進(jìn)行的審核類型。如果希望跟蹤權(quán)限的成功使用,就選擇相應(yīng)的“成功”選項(xiàng);如果希望更正權(quán)限的失敗使用,則選擇相應(yīng)的“失敗”選項(xiàng)。設(shè)置完畢后單擊“確定”關(guān)閉該對話框。對于其他用戶或者組的審核設(shè)置,方法類似。需要說明的是,如果希望將審核應(yīng)用于所有子鍵,需選中“包括可以從該對象的父項(xiàng)繼承的審核項(xiàng)目”選項(xiàng)。(圖7)
圖7
總結(jié):上面從4個(gè)方面和大家分享了自己在Windows注冊表安全管理方面的一些經(jīng)驗(yàn),應(yīng)該說囊括了注冊表管理的主要方面。另外,不少管理員采用的通過組策略禁用注冊表,也不失為一項(xiàng)安全措施。
【編輯推薦】
