本文详细介绍了如何在Windows系统中创建和修改注册表项来限制对注册表的网络访问权限,强调了只有管理员和备份操作员默认具有这种权限。步骤包括创建'SecurePipeServers'和'winreg'项,设置描述和安全权限,以及如何通过添加用户或组来控制远程访问。同时,提到某些服务可能需要远程访问注册表以正常运行,并提供了如何为这些服务添加访问权限的方法。
回到顶端
限制对注册表的网络访问
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
注意:在 Windows 2000 和更高版本中,只有管理员和备份操作员具有对注册表的默认网络访问权限。对于某些特定情况,此部分可能不适用。要限制对注册表的网络访问,请执行下列步骤来创建下面的注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
名称:Description
类型:REG_SZ
值:Registry Server
在此项中设置的安全权限规定了哪些用户或组可以连接到系统以对注册表进行远程访问。默认的 Windows 安装会定义此项,并按如下所示设置“访问控制列表”以限制对注册表的远程访问:
管理员拥有完全控制权限
Windows 的默认配置只允许管理员对注册表进行远程访问。为使用户可以对注册表进行远程访问而对此项进行的更改要在重新启动系统后才能生效。
要创建注册表项以限制对注册表的访问,请执行下列步骤: 1. 启动注册表编辑器 (Regedt32.exe) 并转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
2. 在编辑菜单中,单击添加项。
3. 输入下列数值:
项名称:SecurePipeServers
类型:REG_SZ
4. 转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
5. 在编辑菜单中,单击添加项。
6. 输入下列数值:
项名称:winreg
类型:REG_SZ
7. 转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
8. 在编辑菜单上,单击添加数值。
9. 输入下列数值:
数值名称:Description
数据类型:REG_SZ
字符串:Registry Server
10. 转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
11. 选择“winreg”。单击安全,然后单击权限。添加要向其授予访问权限的用户或组。
12. 退出注册表编辑器并重新启动 Windows。
13. 如果您以后想要更改可以访问注册表的用户的列表,请重复步骤 10-12。
回到顶端
不使用访问限制
某些服务需要远程访问注册表才能正常工作。例如,目录复制程序服务和后台打印程序服务在通过网络连接到打印机时需要访问远程注册表。
您可以将运行该服务的帐户名称添加到“winreg”项的访问列表中,也可以配置 Windows 以便不对某些特定项使用访问限制,方法为:在 AllowedPaths 项下的 Machine 或 Users 值中列出这些项。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
值:Machine
数值类型:REG_MULTI_SZ – 多字符串
默认数据:System\CurrentControlSet\Control\Productoptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Services\Replicator
有效范围:注册表中某个位置的有效路径。
描述:如果对于注册表中
列出的位置不存在明确的访问限制,
则允许计算机访问该位置。
值:Users
数值类型:REG_MULTI_SZ – 多字符串
默认数据:(无)
有效范围:注册表中某个位置的有效路径。
描述:如果对于注册表中
列出的位置不存在明确的访问限制,
则允许用户访问该位置。
在 Windows 2000 和更高版本中略有不同:值:Machine
数值类型:REG_MULTI_SZ – 多字符串
默认数据:System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
system\CurrentControlSet\control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\Windows NT\CurrentVersion
值:Users – 默认情况下不存在。
有关如何以编程方式访问 Windows 注册表并对注册表项应用安全设置的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
146906 (http://support.microsoft.com/kb/146906/) 如何确保 Windows 2000、Windows NT 和 Windows XP 中的性能数据的安全
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
