安全配置工具可以用来为注册表键配置DACL(discretionary access control list,任意访问控制列表),为了在Windows XP中实现适当的安全性设置,有些注册表键的访问许可必须改变。虽然这些建议的设置都可以通过运行regedit.exe自己修改,然而这种方法很浪费时间以及容易出错。
警告:默认情况下,很多注册表键所设置的保护因为要顾及到大多数系统组件的正常运行而只提供了最基本的保护。如果想要得到最高级别的安全,某些访问权限必须被修改,进行这些操作的时候一定要小心,因为用户为了完成自己工作所需要运行的程序可能需要访问注册表的某些键。因此本文后面的内容一定要小心注意,除此之外,对注册表非必要的修改可能会引起系统故障甚至无法修复。
传统方式
在Windows XP继承的特性中,对于子对象的权限是自动从父级对象继承来的,这可以通过DACL编辑器的允许父项的权限传播到该对象和所有子对象这个选项看到。除了从父级对象继承权限的对象外,其他子对象都可以分别设定权限。
如果这个选项没有被选中,DACL将会给对象和该对象的子对象设定访问权限,而它们无法从父级对象继承权限。
注册表权限
如果要手工查看某一注册表键的访问权限:
运行regedit.exe
在想要查看权限的键上点击鼠标右键
从弹出菜单中选择权限…
权限设置将只有完全控制、读取还有特别的权限这三种可以使用,然而在按下高级按钮后还可以设置更细致的访问权限。表8 显示了注册表键的权限列表,表9 显示了为了提高安全性哪些键的访问权限可以重新被设置。
注意:任何时候,只要某个键的权限不是纯粹的读取或者完全控制,那么就可以通过高级安全设置的特殊权限菜单进行设置。
|
特殊的权限 |
描述 |
| 查询数值 | 允许查询注册表的特定值 |
| 设置数值 | 允许新建一个键或者复写一个已有键的键值 |
| 创建子项 | 允许子项的创建 |
| 枚举子项 | 允许查看某个键下所有子项的列表 |
| 通知 | 允许键值发生改变时触发的registration of a callback function that is triggered when the value changes |
| 创建链接 | 允许一个到特定键的链接的创建 |
| 删除 | 允许键或者键值的删除 |
| 写入DAC | 允许对键访问控制权限的修改 |
| 写入所有者 | 允许用户取得对某个键的所有权 |
| 读取控制 | 允许对键访问控制列表的读取 |
表8 注册表权限和描述
|
特殊的权限 |
完全控制 |
读取 |
写入 |
删除 |
| 查询数值 | x | x | ||
| 查询数值 | x | x | ||
| 创建子项 | x | x | ||
| 枚举子项 | x | x | ||
| 通知 | x | x | ||
| 创建链接 | x | |||
| 删除 | x | x | ||
| 写入DAC | x | |||
| 写入所有者 | x | |||
| 读取控制 | x | x | x |
更多内容请看路由安全配置专题、注册表知识手册、注册表操作专题专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
