发信人: ddxyj()
整理人: ipaq(2001-05-27 14:37:36), 站内信件
|
你需要熟悉REGISTRY对于WINDOWS NT的重要性。学习如何保证REGISTRY安全是第
二步任务。办法是研究REGISTRY安全的三种不同方法。第一种讨论的方法是我们
的老朋友---审核。如果你怀疑有人捣REGISTRY的鬼,或者你担心REGISTRY可能有
漏洞,则激活审核功能。为了激活,请执行下列步骤:
1、以拥有管理者功能的用户身份登录。
2、从ADMINISTRATIVE TOOLS组中运行USER MANAGER FOR DOMAINS,如本章前面讨
论的那样,激活审核功能。
3、加载REGEDT32.EXE见图(略)
4、从下拉菜单中,选择SECURITY,单击AUDIT。从这里你可以选择想要审核的RE
GISTRY事件。见图(略)。你可以在不同层次的粒度上审核,从关键字到储备文
件。还可以把审核功能限制在某一级REGISTRY上,而不审核子一级。
5、激活审核功能以后,按照前面介绍的方法监视EVENT VIEWER,寻找任何可疑事
件。
审核REGISTRY时需要注意的其他问题是:你必须拥有系统上的ADMINISTRATOR权限
才能对系统进行审核。还有,因为REGISTRY不是个分布式数据库,而是独特地存
在于每一台机器中,因此你需要对每一台想监视的机器建立审核功能。这同样适
用于获得许可权。
为确保REGISTRY安全,可以考虑的第二种方法是给具体的用户和组授予具体层次
的访问权。
注意除非你非常熟悉REGISTRY,否则,设置或改动REGISTRY部件的许可权是危险
的。指出这一点很重要,因为你也许无意中偶然去掉了系统操作需要的许可权而
不小心地中止了机器的运行。还有,你可能并不知道已经潜在地打开了一个口子
能够使黑客抓到你的口令清单,毁掉你的REGISTRY,或者,在极端的情况下,把
你锁于自己系统之外。
可以用下列步骤对REGISTRY的不同部分设置许可权:
1、加载REGEDT32.EXE。参阅图(略)
2、从下拉菜单中,选SECURITY,单击PERMISSIONS,打开REGISTRY KEY PERMISS
ION对话框,如图所示(略)。
3、许可权设置方式与NTFS许可权在WINDOWS NT EXPLORER中的设置方式大体相同
。在REGISTRY中,你可设置READ、FULL CONTROL 或SPECIAL ACCESS许可权,这允
许你挑选以更精细的粒度分配给那个用户的许可权。
提示如果绝对必要改变关键字许可权,那么审核那个关键字,发现事件失败情况
是个好主意。这样,如果你无意中改变了系统需要的许可权,你就会在EVENT VI
EWER 里发现。
确保REGISTRY安全的第三种方法是个一般性的步骤,务使REGISTRY受到保护。首
先,限制对REGISTRY有访问权的用户数量,不要有太多的管理员,尽量限制他们
。另一种你可以做的事情是,从管理站以外的所有机器中去掉REGISRY EDITOR应
用程序。所有变动都从管理站机器中作出。
如果你动用了所有讨论过的工具的技术,那么不让人接触REGISTRY应该没有问题
。
注意在谈论REGISTRY安全性的时候,把WINDOWS NT 3.51升级为WINDOWS NT 4.0的
时候,有关REGISTRY条目还要提及另一个潜在的问题:在你升级为WINDOWS NT 4
.0版本的时候,你将失去REGISTRY关键字中的下列条目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder\
List of items
在升级为Windows NT 4.0版本的过程中,这个关键字被改写了。Microsoft 公司
推荐的补救办法是重新安装受到影响的应用程序或驱动器。重新安装能再创建必
要的Registry 关键字。Microsoft 公司意识到这种情况并许诺一旦获得信息就给
用户更新。
若想了解更多信息,在Http:/www.microsoft.com/kb/articles/q163/4/13.htm处
检查Microsoft公司的Web 页。
--
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 202.110.151.79]
|
|