多点出击加强Windows系统注册表的安全

核心提示： 图54、部署审核监视用户对注册表的操作 审核是Windows系统的一项重要功能，就像对文件等其他系统项进行审核一样，多点出击加强Windows系统注册表的安全(5)，我们也可注册表的访问进行审核，据此我们可了解到哪些用户访问了注册表，另外，不少管理员采用的通过组策略禁用注册表，以及他对注册

图5

4、部署审核监视用户对注册表的操作

审核是Windows系统的一项重要功能，就像对文件等其他系统项进行审核一样，我们也可注册表的访问进行审核。据此我们可了解到哪些用户访问了注册表，以及他对注册表进行了哪些操作。不过，启用对注册表的审核后会耗费一定的系统性能。笔者建议，我们只选择自己最关心的、必要的审核对象，以减少被写入安全日志中的数据流，以此减少对系统性能带来的负担。

要启用对在注册表的审核，先要启用系统审核。为此，需要通过系统的本地安全策略或相应的组策略对象进行。运行“本地计算机策略”控制台，定位到“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”节点下设置启用系统审核策略。对系统启用了审核后，即可配置希望对注册表进行审核的方式。我们可以设置对需要的注册表键进行监控，此时我们可以利用继承功能，这样我们就不需要对注册表中的每一个键进行设置审核了。当然，如果只需要对一个指定的根键或者子键作为开始的审核的起点，我们可以首先取消上面的继承重新设置。比如，我们要对事关系统账户安全的HKLMSAM注册表键进行审核，可进行如此操作。(图6)

图6

依次点击“开始”→“运行”，输入regedit.exe打开注册表编辑器。定位到HKLMSAM注册表键，右键单击该键选择“权限”打开“SAM的权限”对话框。带该对话框中单击“高级”按钮，打开“SAM的高级安全设置”对话框，在对话框中打开“审核”选项卡，单击“添加”按钮进入对话框，在此选择要审核的用户或组。审核的用户或者组添加完毕后，单击“确定”进入“SAM的审核项目”对话框。在此，我们可以针对每个权限选择要进行的审核类型。如果希望跟踪权限的成功使用，就选择相应的“成功”选项;如果希望更正权限的失败使用，则选择相应的“失败”选项。设置完毕后单击“确定”关闭该对话框。对于其他用户或者组的审核设置，方法类似。需要说明的是，如果希望将审核应用于所有子键，需选中“包括可以从该对象的父项继承的审核项目”选项。(图7)

图7

总结：上面从4个方面和大家分享了自己在Windows注册表安全管理方面的一些经验，应该说囊括了注册表管理的主要方面。另外，不少管理员采用的通过组策略禁用注册表，也不失为一项安全措施。