阻止對Windows註冊表的遠程訪問

按照本文中所提及的方式保護Windows註冊表，能夠防止攻擊者遠程攻擊它。

　　問題

　　註冊表是Windows操作系統的核心。但是在缺省情況下，所有基於Windows的計算機的註冊表在網絡上都是可以被訪問到。瞭解這一點的黑客完全可以利用這個安全漏洞來對你的公司的計算機系統進行攻擊，並修改文件關係，並允許插入惡意代碼。爲了保護你的網絡，你需要禁止對註冊表的遠程訪問。

　　解決方案

　　你輕而易舉地可以通過修改網絡訪問清單來達到這一目標。根據你網絡的複雜程度，你可能需要考慮禁止對註冊表的遠程訪問。

　　注意

　　編輯註冊表可能會有風險，所以必須要在開始之前確保你已經對註冊表進行了備份。

　　修改註冊表

　　對於使用Windows 2000、Windows XP、和Windows Server 2003系統的計算機，採取如下步驟：

　　1、點擊“開始”菜單，選擇“運行”。

　　2、輸入“Regedt32.exe”，然後點擊“OK”。

　　3、選擇“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers”。

　　4、如果winreg鍵已經存在，跳到步驟8。如果該鍵不存在，點擊“編輯”菜單，選擇“添加”。

　　5、把該鍵命名爲“winreg”，類別設定爲REG_SZ。

　　6、選擇這個新創建的鍵，然後點擊“編輯”菜單，選擇“增加值“。

　　7、進行如下輸入：

　　名稱: Description
　　類型: REG_SZ
　　值: Registry Server

　　8、選擇winreg鍵，進入安全 | 許可 。

　　9、確保本地系統管理員組（System Administrators Group）擁有全部的訪問權，把只讀權限開放給系統帳戶（System account）和所有人組（Everyone group）。

　　10、關閉註冊表編輯器，重新啓動計算機。

　　如果你爲工作站或者服務器支持設定了特殊的組，而這些組的成員又不是管理員，你就應該也爲他們設定合適的權限。

　　而且，如果你面對的機器是一臺服務器或者是一臺爲特殊用戶提供遠程服務的計算機，你就必須允許有權使用服務的帳戶對相關內容有隻讀的權限。

　　調整網絡

　　註冊表修改能夠保護你內部網絡需要經過授權才能訪問，但是你還需要保護註冊表不受外部的來自互聯網的訪問。利用註冊表的安全漏洞對Windows系統進行攻擊仍然非常普遍，所以你需要保證你的安全策略已經很好地解決了這些安全漏洞。

　　在前端的路由器或者防火牆上禁用TCP/UDP端口135、137、138、139和455是一個不錯的解決方法。禁用這些端口不僅僅是能夠阻止遠程訪問註冊表，這樣做還能夠阻止大部分針對Windows系統的遠程攻擊。

　　關閉這些端口迅速提高你的Windows網絡的安全性，在沒有禁用這些端口之前，你需要確認是否有商業的原因需要保持這些端口的開放。

　　這些是你所能夠關閉的、運行Windows 2000、Windows XP和Windows Server 2003系統上的遠程註冊表服務（Remote Registry），這對於企業來說，永遠是一個非常有幫助的、實用的方法。