网络访问: 可远程访问的注册表路径和子路径
介绍了有关“网络访问: 可远程访问的注册表路径和子路径”安全策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置确定应用程序或进程引用 WinReg 项确定访问权限时可访问哪些注册表路径和子路径。
注册表是设备配置信息的数据库,其中大部分信息非常敏感。恶意用户可以使用它来促进未经授权的活动。实际上分配给整个注册表的默认 ACL 非常严格,并且它们可以帮助防止未经授权的用户访问它,这样就可减少发生这种情况的几率。
若要允许远程访问,还必须启用远程注册表服务。
可能值
用户定义的路径列表
未定义
最佳做法
- 将此策略设置为 null 值;即启用该策略设置,但未在文本框中输入任何路径。Microsoft Baseline Security Analyzer 和配置管理器等远程管理工具需要远程访问注册表。从可访问路径列表中删除默认的注册表路径可能会导致这些工具和其他管理工具失败。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
查看以下注册表项组合 |
DC 有效默认设置 |
查看以下注册表项组合 |
成员服务器有效默认设置 |
查看以下注册表项组合 |
客户端计算机有效默认设置 |
查看以下注册表项组合 |
所有以下注册表项的组合都适用于以前的设置:
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
注册表包含攻击者可能用于促进未经授权的活动的敏感设备配置信息。实际上,分配给整个注册表的默认 ACL 非常严格,并且有助于防止未经授权的用户访问该注册表,这样可降低此类攻击的风险。
对策
将“网络访问: 可远程访问的注册表路径和子路径”****设置配置为 null 值(启用该设置,但未在文本框中输入任何路径)。
潜在影响
MBSA 和配置管理器等远程管理工具需要远程访问注册表,才能正确监视和管理这些计算机。如果从可访问路径列表中删除默认的注册表路径,此类远程管理工具可能会失败。
注意
如果你想要允许远程访问,还必须启用远程注册表服务。