本文介绍了一种通过设置Windows 2000/xp/2003注册表权限的方法来防止木马和病毒通过自启动项、文件关联和服务启动。通过批处理脚本和setacl工具,可以将特定注册表键设置为只读,以增强系统安全性。但这种方法对安装软件和杀毒软件更新时可能产生的权限冲突以及更高级的威胁如3721仍有局限性。
目录
一、引言
二、问题的提出
三、问题的解决
四、适用人群
五、还存在的问题
六、其他
七、批处理源代码
参考
一、引言
前不久,没事到http://www.sometips.com/闲逛,看完《文件权限和注册表权限的另类使用》大受启发。于是就有了本文的产生。
二、问题的提出
大部分的木马及部分的病毒是通过注册表的自启动项或文件关联或通过系统服务实现自启动的,详见《Windows的自启动方式》,那是否有一种方法可以防止木马或病毒修改注册表项及增加服务呢?
三、问题的解决
windows2000/xp/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM/SYSTEM/CurrentControlSet/Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用secedit)
3、本文通过setacl这个程序加批处理实现,可以在http://www.helge.mynetcologne.de/setacl/下载
4、手工操作可以通过regedt32(windows2000系统,在菜单“安全”下的“权限”)或regedit(windows2003/xp,在“编辑”菜单下的“权限”)
批处理代码在后面给出。
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。
四、适用人群
1)、对电脑不是很熟悉,不经常安装/卸载软件的人
2)、喜欢在网上下载软件安装的朋友
3)、每台电脑的操作人员都有管理员权限,这些人的电脑水平又参差不齐的企业
五、还存在的问题
1)、安装杀毒软件,打补丁的时候都可能对那些注册表进行操作,这样就得先恢复权限设置,再安装,安装完成后重新设置。不方便
2)、防不住3721,不知是不是3721的权限太高了(听说3721是通过驱动程序启动的,有ring 0级权限)
3)、只适合windows2000/xp/2003,其他的就没办法了
4)、只能对付那些简单的病毒和木马
六、其他
大家看完本文看,可能禁不住大骂:神经病,两三句话就说完的事,非得搞得像论文,写这么一大堆,浪费我时间。如果真的是这样,那真的是对不起了。只因为公司在实施ISO,我也觉得ISO里提倡的东西蛮好的,为了规范化我的文档,我就多做些练习了。
打包好的程序可以到:
https://www.xfocus.net/php/tools.php?sub=down&a
一、引言
二、问题的提出
三、问题的解决
四、适用人群
五、还存在的问题
六、其他
七、批处理源代码
参考
一、引言
前不久,没事到http://www.sometips.com/闲逛,看完《文件权限和注册表权限的另类使用》大受启发。于是就有了本文的产生。
二、问题的提出
大部分的木马及部分的病毒是通过注册表的自启动项或文件关联或通过系统服务实现自启动的,详见《Windows的自启动方式》,那是否有一种方法可以防止木马或病毒修改注册表项及增加服务呢?
三、问题的解决
windows2000/xp/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限:
1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动
2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动
3、设置注册表HKLM/SYSTEM/CurrentControlSet/Services为everyone只读,防止木马、病毒以"服务"方式启动
注册表键的权限设置可以通过以下方式实现:
1、如果在域环境里,可能通过活动目录的组策略实现的
2、本地计算机的组策略来(命令行用secedit)
3、本文通过setacl这个程序加批处理实现,可以在http://www.helge.mynetcologne.de/setacl/下载
4、手工操作可以通过regedt32(windows2000系统,在菜单“安全”下的“权限”)或regedit(windows2003/xp,在“编辑”菜单下的“权限”)
批处理代码在后面给出。
如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。
四、适用人群
1)、对电脑不是很熟悉,不经常安装/卸载软件的人
2)、喜欢在网上下载软件安装的朋友
3)、每台电脑的操作人员都有管理员权限,这些人的电脑水平又参差不齐的企业
五、还存在的问题
1)、安装杀毒软件,打补丁的时候都可能对那些注册表进行操作,这样就得先恢复权限设置,再安装,安装完成后重新设置。不方便
2)、防不住3721,不知是不是3721的权限太高了(听说3721是通过驱动程序启动的,有ring 0级权限)
3)、只适合windows2000/xp/2003,其他的就没办法了
4)、只能对付那些简单的病毒和木马
六、其他
大家看完本文看,可能禁不住大骂:神经病,两三句话就说完的事,非得搞得像论文,写这么一大堆,浪费我时间。如果真的是这样,那真的是对不起了。只因为公司在实施ISO,我也觉得ISO里提倡的东西蛮好的,为了规范化我的文档,我就多做些练习了。
打包好的程序可以到:
https://www.xfocus.net/php/tools.php?sub=down&a
最低0.47元/天 解锁文章
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
