修改注册表权限加强对木马病毒的防范

一、问题的提出

大部分的木马及部分的病毒是通过注册表的自启动项或文件关联或通过系统服务实现自启动的，详见《Windows的自启动方式》，那是否有一种方法可以防止木马或病毒修改注册表项及增加服务呢？

二、问题的解决

Windows2000/XP/2003的注册表是可以设置权限的，只是我们比较少用到。设置以下注册表键的权限：

1、设置注册表自启动项为everyone只读(Run、RunOnce、RunService)，防止木马、病毒通过自启动项目启动。

2、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读，防止木马、病毒通过文件关联启动。

3、设置注册表HKLMSYSTEMCurrentControlSetServices为everyone只读，防止木马、病毒以“服务”方式启动。

注册表键的权限设置可以通过以下方式实现：

1、如果在域环境里，可能通过活动目录的组策略实现的。

2、本地计算机的组策略来(命令行用Secedit)。

3、本文通过Setacl这个程序加批处理实现。

4、手工操作可以通过Regedt32(Windows2000系统，在菜单“安全”下的“权限”)或Regedit(Windows2003/XP，在“编辑”菜单下的“权限”)批处理代码在后面给出。如果只有Users组权限，以上键值默认是只读的，就可以不用这么麻烦了。

三、适用人群

1、对电脑不是很熟悉，不经常安装/卸载软件的人。

2、喜欢在网上下载软件安装的朋友。

3、每台电脑的操作人员都有管理员权限，这些人的电脑水平又参差不齐的企业。

四、还存在的问题

1、安装杀毒软件，打补丁的时候都可能对那些注册表进行操作，这样就得先恢复权限设置，再安装，安装完成后重新设置。不方便。

2、防不住3721，不知是不是3721的权限太高了(听说3721是通过驱动程序启动的，有Ring0级权限)。

3、只适合Windows2000/XP/2003，其他的就没办法了。

4、只能对付那些简单的病毒和木马。

五、批处理源代码