一、問題的提出
大部分的木馬及部分的病毒是通過注冊表的自啟動項或文件關聯或通過系統服務實現自啟動的,那是否有一種方法可以防止木馬或病毒修改注冊表項及增加服務呢?
二、問題的解決
Windows2000/XP/2003的注冊表是可以設置權限的,只是我們比較少用到。設置以下注冊表鍵的權限:
1、設置注冊表自啟動項為everyone只讀(Run、RunOnce、RunService),防止木馬、病毒通過自啟動項目啟動。
2、設置.txt、.com、.exe、.inf、.ini、.bat等等文件關聯為everyone只讀,防止木馬、病毒通過文件關聯啟動。
3、設置注冊表HKLM\SYSTEM\CurrentControlSet\Services為everyone只讀,防止木馬、病毒以“服務”方式啟動。
注冊表鍵的權限設置可以通過以下方式實現:
1、如果在域環境裡,可能通過活動目錄的組策略實現的。
2、本地計算機的組策略來(命令行用Secedit)。
3、本文通過Setacl這個程序加批處理實現。
4、手工操作可以通過Regedt32(Windows2000系統,在菜單“安全”下的“權限”)或Regedit(Windows2003/XP,在“編輯”菜單下的“權限”)批處理代碼在後面給出。如果只有Users組權限,以上鍵值默認是只讀的,就可以不用這麼麻煩了。
三、還存在的問題
1、安裝殺毒軟件,打補丁的時候都可能對那些注冊表進行操作,這樣就得先恢復權限設置,再安裝,安裝完成後重新設置。
2、只適合Windows2000/XP/2003,其他的就沒辦法了。
3、只能對付那些簡單的病毒和木馬。