引言：注册表可谓是Windows系统的核心之处，无论是应用程序安装还是系统服务运行，都离不开它的控制。也正因为它如此重要，网络上的各种恶意程序往往会将它作为重点攻击对象。为让注册表安全无懈可击，我们需要采取措施，对其使用和访问进行强化监控和保护！

注册表可谓是Windows系统的核心之处，无论是应用程序安装还是系统服务运行，都离不开它的控制。也正因为它如此重要，网络上的各种恶意程序往往会将它作为重点攻击对象，如此一来，它反而变成了Windows系统的安全要害，任何注册表键值的恶意变动，轻则会引起程序或服务启动运行错误，重则能导致系统直接崩溃瘫痪。为了让注册表安全无懈可击，我们需要采取措施，对其使用和访问进行强化监控和保护！

图1 注册表编辑器对话框

备份及时到位

让注册表安全无懈可击最简单且最常见的方法就是将注册表内容备份到位，一旦注册表内容受到破坏时，可以在第一时间将其恢复正常。普通备份操作很简单，只要打开系统运行文本框，在其中执行“regedit”命令，进入系统注册表编辑界面。选中“计算机”节点选项，打开如图1所示的右键菜单，选择“导出”命令，从弹出的注册表文件导出设置对话框中，设置好备份文件名称和保存路径，同时将“保存类型”修改为“REG”选项，确认后就可以将整个注册表内容备份成功了。日后如需要将注册表内容恢复到正常状态时，只要简单地双击备份文件即可。

倘若要备份注册表中特定分支下的内容时，可以先选中特定分支选项，打开它的右键菜单，单击“导 出”命 令，设置好保存名称和路径就能进行备份操作了。因为病毒木马程序一般会偷偷修改Run、Winlogon、RunOnce、RunServicesOnce、load、RunOnceEx、RunServices等分支下的内容，所以我们应该加强对HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun等分支内容，进行及时备份操作。

如果嫌手动备份操作麻烦，我们不妨利用ERUNT这款外力工具，快速备份注册表内容，该工具可以免费使用且无需进行安装操作。从网上获得汉化版ERUNT工具压缩包，借助专业解压工具，将压缩包内容释放到临时目录中，双击可执行文件“ERUNT.EXE”，不经过安装操作就能弹出如图2所示备份主窗口。在“备份选项”设置项处，勾选“系统注册表”选项，可以对整个注册表内容进行备份；如果勾选了“当前用户注册表”选项，那么目标程序仅会备份与当前用户相关分支内容。之后指定好备份文件名称和存储路径，按下“确定”按钮后，目标工具就能成功备份好系统注册表了。为了确保安全，建议大家在安装、卸载应用程序，或对系统配置之前，都及时对注册表备份一次。日后，当系统注册表受到损坏需要恢复时，只要进入备份文件夹窗口，双击“ERUNT.EXE”文件即可。

图2 备份对话框

此外，为了提高备份效率，也能通过ERUNT工具自动备份注册表内容。例如，ERUNT工具现被保存在“F：111”文件夹中，在通过该工具对注册表进行自动备份时，只要进行如下操作：

首先启动记事本之类的文本编辑程序，在文本编辑窗口中输入下面的命令行代码：

@echo off

F：111ERUNT.EXE %SystemRoot%ERUNT#Date# /noconfirmdelete

其 中“F：111ERUNT.EXE”是ERUNT程序保存路径，“%SystemRoot%ERUNT#Date#”表示备份文件存储路径，并且备份文件自动以当前日期作为名 称，“noconfirmdelete”参数表示强制删除同名备份文件。将上面的命令代码保存为“222.bat”批处理文件。

接着打开系统运行文本框，在其中执行“gpedit.msc”命令，开启组策略编辑器运行状态，依次跳转到“本地计算机策略”、“计算机配置”、“Windows设置”和“脚本（启动/关机）”分支上，找到指定分支下的“启动”选项，用鼠标双击进入对应选项设置框，选择“添加”，从文件添加对话框中导入“222.bat”批处理文件，确认后保存设置操作。日后Windows系统每次启动运行时，ERUNT工具都会自动调用指定批处理文件，对系统注册表自动备份。

限制远程访问

众所周知，我们既能在本地访问系统注册表，又能在其他地方远程访问它。但要是让人随意在其他地方远程访问系统注册表，那注册表安全可能会受到不小威胁。为了减少注册表的安全攻击途径，我们不妨对系统进行如下设置操作，切断注册表的远程访问通道：

首先选中系统桌面上的“计算机”图标，打开它的快捷菜单，单击“管理”命令，展开计算机管理界面。在该界面左侧列表中，依次点击“服务和应用程序”、“服务”节点选项。

接着从指定节点下面选中“Remote Registry”选项，并用鼠标双击切换到如图3所示的选项设置对话框，单击“停止”按钮，并将启动类型设置为“禁止”，确认后退出设置对话框。这样，就能完全切断对系统注册表的远程访问通道了。

巧妙锁定保护

一些恶意程序常常会主动修改系统注册表有关键值内容，以便让自身跟随Windows系统一起启动运行。为了避免病毒木马等程序随意修改注册表键值，影响系统安全运行，我们不妨借助“Registry Locker”这款外力工具，巧妙锁定保护系统注册表中的特定重要分支内容，让病毒木马没有任何编辑修改权限。该工具内置了很多项容易被病毒木马程序感染的注册表位置，通过对这些注册表位置的锁定保护，就能避免注册表受到各类病毒或其他恶意程序的损坏。

图3 属性对话框

图4 Registry Locker主程序

在对系统注册表执行锁定保护操作之前，建议大家先将常用程序都安装到计算机中，再用杀毒软件完整扫描一次Windows系统，确保系统处于“干净”状态。接着下载安装好“Registry Locker”工具，展开如图4所示的主程序窗口，在这里可以直观看到一些容易受到非法攻击的注册表分支或项目，例如系统服务、映像劫持、IE插件项、系统启动项、IE右键菜单、IE首页等，将特定分支和项目选中，选择工具栏中的“锁定选定项”，这样对应注册表分支或项目就会自动受到“Registry Locker”工具保护了，日后恶意程序在尝试篡改特定注册表分支内容时，系统将弹出无权修改之类的提示。如果我们自己想调整特定注册表分支下的内容时，可以从注册表项目列表中，对特定项目执行解锁操作即可。

如果我们想修改默认的注册表项目时，只要先单击主界面中的“保存”工具栏按钮，将当前列表内容存储成“Registry.dat”，该 文 件默认会被存储到“Registry Locker”工具的安装目录下。下面用写字板之类的文本编辑程序打开“Registry.dat”文件，根据已有的条目信息，手工增加或删除需要安全保护的注册表分支或项目，每一行只允许存在一条记录，每条记录输入格式一定要符合“1或0|说明项|注册表项”标准，这里的“1”或“0”代表在默认状态是否选定当前注册表分支或项目，“说明项”指的是当前条目详细说明信息，“注册表项”用来指定需要被锁定保护的注册表详细分支地址。按需编辑好“Registry.dat”文件后，将其重新保存一下，并关闭文本编辑界面。重启“Registry Locker”工具，该工具会自动为“Registry.dat”文件中指定的新注册表项目，提供锁定保护服务。

定期进行修复

由于非法攻击或操作错误等原因，系统注册表常常会出现一些蹊跷的错误。为了让系统注册表运行状态快速还原，我们不妨借助“Registry Life”工具，对系统注册表中的各种错误进行强制修复。

启 动 运 行“Registry Life”工具后，它会自动扫描整个系统注册表，扫描任务完成后，系统注册表中存在的各个错误和错误数量都会列写在主操作窗口中。其中，该工具会用红色感叹号标记突出显示错误的地方，我们能直观分辨出错误属于什么类型。要想对存在的错误进行清除修复时，只要在主操作窗口中单击“Run Registry Ceanup”按钮，弹出错误清除向导设置框，单击“Start”按 钮，“Registry Life”工具就能智能逐项分析系统注册表中存在的错误，分析结束后，我们能看到对错误信息的详细说明，再单击“Fix”按钮，错误修复操作就会正式开始。

图5 权限设置对话框

系统注册表在一段时间运行后，很可能会产生垃圾或出现错误，定期清除垃圾，能让注册表处于最理想工作状态。在进行该操作时，先进入“Registry Life”主操作窗口，依次点选“Main Functions”、“Registry Optimization”命令，弹出注册表优化设置界面，单击“Perform the Registry Optimization”按钮，位于系统注册表各个位置处的的所有垃圾，就能被目标工具强行清除掉了。

严控编辑权限

恶意程序可以偷偷修改系统注册表，主要是因为Windows系统默认对注册表编辑权限管控不严。倘若对注册表重要分支编辑权限进行严格限制，那么注册表的安全性能会大大提升。在严控注册表编辑权限时，既可以对特定键值权限直接限制外，又能借助安全模板进行限制，通过模板进行限制时，往往不要担心设置不当引起Windows系统运行不正常。

正常情况下，对特定注册表分支权限进行管控时，可以通过权限直接编辑法来完成（如图 5），详细操作为：先进入系统注册表编辑窗口，选中特定注册表分支选项，比如说选中注册表分支 选 项“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”，打开它的右键菜单，单击“权限”命令，展开如图5所示的权限编辑框。我们可以在这里单击“添加”或“删除”按钮，导入或移除特定用户账号，接着选中某个对象，同时对操作权限进行拒绝或允许。

要提醒大家的是，很多注册表分支权限是从高级别分支继承过来的，有时不能对其直接控制。这个时候，不妨单击“高级”按钮，在高级安全设置框“权限”页面中的“继承于”设置项处，查看对应权限究竟是从哪里继承来的，这些权限默认都是从对应键值根分支继承过来的。在确认修改访问权限前，一定要弄清楚有没有必要勾选“包括可以从该对象的父项继承的权限”选项，如果勾选的话，特定分支下的访问权限都会同步跟随变化。打开“所有者”选项设置页面，可以查到特定分支的当前所有者，并能根据实际需要设置所有权，默认状态下，只有特定分支会受到影响，如果希望适用于特定分支下的所有子项时，必须要勾选“替换子容器和对象的所有者”选项。在“有效权限”选项设置页面中，可以查看到当前配置会对特定用户或组应用什么样的权限，该特性作用不可忽视，可以帮助大家知道在对权限修改确认前会不会被应用。

如果要对整个系统注册表的编辑权限进行严格限制，也可以对注册表程序的访问权限进行控制。在进行该操作时，不妨先进入系统资源管理器界面，找到%SystemRoot%目录下的“Regedit.exe”文件，这个文件其实就是系统注册表编辑器程序，打开该程序的右键菜单，选择“属性”命令，切换到对应程序属性设置框，点选“安全”选项卡，在对应选项设置页面中，按照实际情况添加或者删除用户或组，再定义好适当的访问权限。

密切实施监控

如果对系统注册表变化状态进行实时监控，那么非法程序攻击注册表时，就可以在第一时间被发现，这有利于保护系统注册表的安全运行。要想监控系统注册表异常，可以使用“Registry Monitor”工具，它既可以监控记录与注册表数据有关的各种操作，又能允许用户对监控结果进行查找、筛选、过滤、分析等。

启 动 运 行“Registry Monitor”程序后，它会默认扫描系统注册表的变化状态，并同步显示扫描结果，扫描结果包括访问注册表的进程、位置以及相关操作等，依照这些结果，基本就能初步判断出注册表是否受到过攻击了。因为分析不断更新的注册表扫描结果往往有点吃力，此时不妨进行合适设置，突出显示一些关键更新项目。在进行该操作时，逐一选择“选项”、“过滤”、“高亮”命令，弹出高亮设置界面，在“高亮”设置项处，输入关键键值名称，例如输入“Run”、“RunOnce”，确认后与关键键值相关数据就会被突出显示。为了进一步提高分析成功率，我们还可以利用“Registry Monitor”程序强大的过滤功能，按需过滤记录内容，例如过滤注册表读写操作、成功错误操作等。

在没有外力工具可以使用的情况下，也可以加强系统注册表访问操作的审核，达到实时监控目的。因为注册表审核操作会消耗一些系统资源，所以仅对重要项目审核，能降低系统资源的消耗。在审核注册表之前，先要启用系统审核功能。打开系统运行对话框，输入“gpedit.msc”命令并回车，进入本地计算机策略控制台，依次跳转到“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“审核策略”节点上，双击指定节点下的“审核系统事件”选项，弹出如图6的选项设置框，勾选“成功”、“失败”选项，单击“确定”按钮保存设置。

图6 属性对话框

启用了系统审核功能后，就可以审核监控特定注册表分支内容了，当然通过继承功能，就用不着对注册表相关分支进行审核设置了。如在审核与账户安全相关的注册表分支时，不妨先进入系统注册表编辑窗口，选中注册表分支 选 项“HKEY_LOCAL_MACHINESAMSAM”，打开该分支选项的右键菜单，单击“权限”命令，切换到权限编辑对话框，选择“高级”按钮，弹出高级安全设置框，选择“审核”选项卡，单击对应选项设置页面中的“添加”按钮，导入要审核的用户或组，针对每个权限定义好适当的审核类型，确认后退出设置对话框即可。