网络访问: 可远程访问的注册表路径和子路径
04/19/2017
本文内容
适用范围
Windows 10
介绍网络访问的最佳实践、位置、值和安全注意事项: 可 远程访问的注册表路径和子路径安全策略设置。
参考
此策略设置确定当应用程序或进程引用 WinReg 项来确定访问权限时可以访问哪些注册表路径和子路径。
注册表是设备配置信息的数据库,其中大部分信息都是敏感的。 恶意用户可以使用它促进未经授权的活动。 由于在整个注册表中分配的默认 ACL 具有相当严格的限制,并且它们有助于防止未经授权的用户访问,这一点降低了发生此情况的可能性。
若要允许远程访问,还必须启用远程注册表服务。
可能值
用户定义的路径列表
未定义
最佳做法
将此策略设置为空值;即,启用策略设置,但不在文本框中输入任何路径。 远程管理工具(如 Microsoft 基线安全分析器和配置管理器)需要远程访问注册表。 从辅助路径列表中删除默认注册表路径可能会导致这些管理工具和其他管理工具失败。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出了此策略的实际和有效默认值。 默认值也会列在策略的属性页上。
服务器类型或 GPO
默认值
默认域策略
未定义
默认域控制器策略
未定义
Stand-Alone服务器默认设置
请参阅以下注册表项组合
DC 有效默认值设置
请参阅以下注册表项组合
成员服务器有效默认设置
请参阅以下注册表项组合
客户端计算机有效默认设置
请参阅以下注册表项组合
以下所有注册表项的组合适用于以前的设置:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
策略管理
本节介绍可帮助您管理此策略的功能和工具。
重启要求
无。 在本地保存或通过组策略分发更改时,更改将在不重新启动计算机的情况下生效。
安全注意事项
本部分介绍攻击者如何利用一项功能或其配置,如何实施对策,以及对策实施可能产生的负面后果。
漏洞
注册表包含攻击者可用于促进未经授权的活动的敏感设备配置信息。 在整个注册表中分配的默认 ACL 具有相当严格的限制,并且有助于保护注册表免受未经授权的用户访问,这一事实可降低此类攻击的风险。
对策
将 "网络访问: 可 远程访问的注册表路径和子路径"设置配置为空值 (启用该设置,但不在文本框中输入任何) 。
潜在影响
远程管理工具(如 MBSA 和 Configuration Manager)需要远程访问注册表,以正确监视和管理这些计算机。 如果从可访问路径列表中删除默认注册表路径,则此类远程管理工具可能会失败。
注意: 如果要允许远程访问,还必须启用远程注册表服务。
相关主题