問題
注冊表是Windows操作系統的核心。但是在缺省情況下,所有基於Windows的計算機的注冊表在網絡上都是可以被訪問到。了解這一點的黑客完全可以利用這個安全漏洞來對你的公司的計算機系統進行攻擊,並修改文件關系,並允許插入惡意代碼。為了保護你的網絡,你需要禁止對注冊表的遠程訪問。
解決方案
你輕而易舉地可以通過修改網絡訪問清單來達到這一目標。根據你網絡的復雜程度,你可能需要考慮禁止對注冊表的遠程訪問。
注意
編輯注冊表可能會有風險,所以必須要在開始之前確保你已經對注冊表進行了備份。
修改注冊表
對於使用Windows 2000、Windows XP、和Windows Server 2003系統的計算機,采取如下步驟:
1、點擊“開始”菜單,選擇“運行”。
2、輸入“Regedt32.exe”,然後點擊“OK”。
3、選擇“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers”。
4、如果winreg鍵已經存在,跳到步驟8。如果該鍵不存在,點擊“編輯”菜單,選擇“添加”。
5、把該鍵命名為“winreg”,類別設定為REG_SZ。
6、選擇這個新創建的鍵,然後點擊“編輯”菜單,選擇“增加值“。
7、進行如下輸入:
名稱: Description
類型: REG_SZ
值: Registry Server
8、選擇winreg鍵,進入安全 | 許可 。
9、確保本地系統管理員組(System Administrators Group)擁有全部的訪問權,把只讀權限開放給系統帳戶(System account)和所有人組(Everyone group)。
10、關閉注冊表編輯器,重新啟動計算機。
如果你為工作站或者服務器支持設定了特殊的組,而這些組的成員又不是管理員,你就應該也為他們設定合適的權限。
而且,如果你面對的機器是一台服務器或者是一台為特殊用戶提供遠程服務的計算機,你就必須允許有權使用服務的帳戶對相關內容有只讀的權限。
調整網絡
注冊表修改能夠保護你內部網絡需要經過授權才能訪問,但是你還需要保護注冊表不受外部的來自互聯網的訪問。利用注冊表的安全漏洞對Windows系統進行攻擊仍然非常普遍,所以你需要保證你的安全策略已經很好地解決了這些安全漏洞。
在前端的路由器或者防火牆上禁用TCP/UDP端口135、137、138、139和455是一個不錯的解決方法。禁用這些端口不僅僅是能夠阻止遠程訪問注冊表,這樣做還能夠阻止大部分針對Windows系統的遠程攻擊。