终端安全风险管理：解析9个终端注册表风险点

2023-11-23 理论教育版权反馈

【摘要】：3）加载注册表项监控策略导致终端蓝屏，严重影响业务，造成终端业务无法持续有效地运行的风险。下面对终端注册表风险进行详细的分解。相关风险点终端注册表风险点见表A-23。以下将终端注册表风险按照终端使用人角色分析如下：风险点（1-6）：该类风险与内部人员的角色级别有关。

1.风险分析

（1）风险描述

注册表是为Windows操作系统中所有硬件/驱动和应用程序设计的数据文件。在没有注册表的情况下，操作系统不会获得必需的信息来运行和控制附属的设备和应用程序及正确响应用户的输入。当操作系统需要存取硬件设备，就会使用驱动程序，驱动程序是独立于操作系统的，但是操作系统需要知道从哪里找到它们，包括其文件名、版本号、其他设置和信息，没有注册表对设备的记录，它们就不能被使用。当一个用户准备运行一个应用程序，注册表提供应用程序信息给操作系统，这样应用程序可以被找到，正确数据文件的位置被规定，其他设置也都可以被使用，注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息（如日期）、安装软件的用户、软件版本号和日期、序列号等。根据安装软件的不同，它包括的信息也不同。一般来说，注册表控制所有应用程序和驱动，控制的方法是基于用户和计算机的，而不依赖于应用程序或驱动，每个注册表的参数项控制了一个用户的功能或者计算机功能。

注册表作为系统必不可少的组成部分，成为黑客与安全专家们关注的焦点，如果不能对注册表进行很好的管理（如访问、增加、删除、注册表项等操作），终端的安全就得不到保障，黑客或恶意程序就可以轻松地控制终端系统的某些功能或窃取或某些信息。

从终端保护的角度来看，主要的风险主要表现在以下几个方面：

1）监控缺失风险。由于缺少对访问、增加、删除注册表项等操作的监控，会导致关键主机的保护失控的风险。

2）标准基线风险。由于事先没有对注册表项作出详细分析，根据不同的终端做出注册表项白名单，或没有及时更新注册表的监控白名单，导致不能有效地识别终端的异常注册表项，造成不能有效监控注册表项的风险。

3）加载注册表项监控策略导致终端蓝屏，严重影响业务，造成终端业务无法持续有效地运行的风险。

4）控制平台本身风险。发现了异常访问、增加、删除注册表项等操作，但是技术措施不到位，不能及时准确地处理，如采取告警、限制连接等控制措施，实现有效监控的风险。

因此这类风险的可知、可控、可管十分重要。下面对终端注册表风险进行详细的分解。

（2）相关风险点

终端注册表风险点见表A-23。

表 A-23

以下将分别从资产使用生命周期、相关信息安全、资产使用人员和合规性4个方面对以上9个风险点进行详细描述。

（a）基于资产使用生命周期分析

资产使用生命周期包含入网前、运行阶段、维修阶段、报废阶段。终端违规网络访问风险按照资产使用生命周期的分析如下：

风险点（1-6）：涉及入网前、运行阶段。由于微软并没有完全公开关于注册表正确设置的支持信息，这样使得注册表看上去更不可琢磨。处理和编辑注册表如同“黑色艺术”一样，它在系统中的设置让用户感觉象在黑暗中摸索一样找不到感觉。这样，因为用户对这方面的缺乏了解使得注册表更多地出现故障，也正因为如此当前注册表成为黑客与安全专家们关注的焦点，如果不能对注册表进行很好的管理，如访问、增加、删除、注册表项等操作，就不能使终端得到更好的保障，黑客或恶意程序就可以轻松地控制终端系统的某些功能或窃取某些信息，例如控制面板操作功能、桌面外观和图标、网络配置参数、浏览器功能和特征存取控制、登录确认功能、文件和打印机共享功能、网卡设置和协议、系统性能和虚拟内存设置等。

风险点（7-9）：涉及入网前、运行阶段。由于注册表涉及各种硬件和应用，如不能及时和全面地对终端系统做分析，建立系统关键项和用户关键项的注册表白名单，并且该注册表白名单没有随驱动升级和应用改变而及时更新，可能导致注册表监控的基线不准确，控制措施难以实施，甚至会严重影响业务的顺利进行。

（b）基于相关信息安全关系分析

相关信息安全分为在线信息风险和存储信息风险，终端注册表风险按照相关信息安全关系的分析如下：

风险点（1-6）：如果缺失有关注册表的监控措施，一旦注册表被恶意访问、增加、删除，可以导致终端系统所有文件操作都受影响，势必造成业务运行中的在线信息风险和存储信息风险。

风险点（7-9）：如果系统关键项和用户关键项的注册表白名单不能及时升级，一旦造成无法检测遗漏注册表的恶意操作，也会造成业务运行中的在线信息风险和存储信息风险。

（c）基于资产使用人分析

终端使用人包括内部人员、临时人员和外部人员3大类，而内部人员可以再细分为高级管理者、关键业务人员和网络管理人3种角色，临时人员主要是辅助人员岗位，如食堂、车队、绿化等人员，而外部人员包括外来厂商运维人员和系统内外来人员。终端的使用者因为不同的角色和不同的操作意图，一个相同的风险点对应不同身份的终端使用人风险级别也不同。以下将终端注册表风险按照终端使用人角色分析如下：

风险点（1-6）：该类风险与内部人员的角色级别有关。

1）高级管理岗位，如区域负责人等高层领导，风险很大。(www.chuimin.cn)

2）地市部门主管、网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员，风险较大。

3）网络管理员，风险较大。

对于临时人员和外来人员，如果自带终端的话，风险极大。

风险点（7-9）：该风险对于高级管理岗位，如区域负责人等高层领导的终端的正常使用威胁极大；对于网络管理员、配置管理员、系统管理员、财务部人员等关键岗位业务人员的终端的使用威胁较大；而对于临时人员和外部人员，因无法事先作出注册表基线，风险较大。

（d）合规性要求

合规性要求见表A-24。

表 A-24

2.风险管控

每类风险在管控过程中，针对风险的事前、事中和事后3种状态进行监控，做到事前预防、事中控制、事后审计追查。下面的风险管控处理流程，尽量从事前、事中和事后3方面对风险管控进行描述。

（1）风险点（1-6）：终端系统注册表监控缺失和基线风险

事前处置：在安全系统被安装前，提前备份注册表内容，并且对系统注册表关键项和用户关注的注册表项进行跟踪，将相关的获取到的信息进行基本的安全分析，主要是对需要关注的注册表数据的正确性、安全性、完整性进行基本的分析，由此确定要被关注的数据是不是正常的或安全的数据。分两种情况处理：安全数据—对于此种数据将进行管理，统一制作系统安全基线，用于规范全网终端系统的安全；

风险数据—对于存在风险的数据，将其作为系统安全相关的事件上报到服务器进行记录，并将此信息告知相关的系统管理人员，同时提醒终端使用者当前存在的信息，要求用户对系统进行彻底的安全检查，特别是注册表的内容。通过以上两种处理方式，保证了系统中安全的注册表数据作为系统的安全恢复依据，同时也能在注册表中存在风险时保证了事件的记录行为，并向用户提示了系统当前的基本安全情况。

事中处置：在安全管理系统被正确安装后，在系统运行期间通过应用层与内核层两层体系结构，对注册表进行全面的保护，任何恶意篡改或未经许可的访问动作都将被禁止并通过报警的方式上报至服务器，由此不仅可以对注册表数据做到有效的保护还可以将存在的风险及时上报到相关的管理人员，相关的管理人员可能通过报警的信息及时发现风险、追查风险的来源，最终将其修复。

事后处置：对于个别情况下所出现的未能及时禁止或处理的操作，由此引发的注册表数据被篡改行为，可以通过事前对于安全的数据所做的备份进行恢复，基本可以保证注册表数据的正常与完整，而对于未经许可的读取数据，则要求通过对于网络数据包审计（网络访问读取）或内核驱动（本地访问读取）来进行控制，最终达到保护数据的安全。

控制流程见图A-19。

图 A-19

（2）风险点（7-9）：终端系统注册表技术控制风险

事前处置：需要不断完善“从终端上得到反馈”的技术机制，测试验证该机制可以实现；需要制定有关的应急响应预案，一旦出现策略与业务发生冲突时，需要启动；另外，如果有关策略一旦被停止和被删除不能及时更新而技术手段无法实现时需要启动。

事中处置：通过分析实时的通信日志，及时了解注册表白名单策略与某些业务是否冲突，注册表白名单策略停止和被删除，或者注册表白名单策略已经得到更新，如果在规定的时间内得不到反馈信息，需要启动应急预案；一旦出现策略与业务的兼容性问题，需要有逃生机制，即通过人工卸载策略，确保业务的顺利进行。

事后处置：一旦前面的技术手段都失效，需要在安全主管的认可下启动应急预案。首先在确保业务顺利进行的前提下，人工在本地更新或卸载策略。在此基础上再考虑其他问题，如策略不能更新的故障原因、涉及的部门和人员，造成问题的是平台本身的性能原因，还是其他问题，这些问题是否在管理制度中作出了相关规定，是否需要完善或补充等。

控制流程见图A-20。

图 A-20

3.风险控制效果

根据之前在风险管理部分的描述，通过对注册表分别在应用层与内核层两层监视与控制体系结构，基本上可做到大部分的注册表非法篡改或读取行为在开始修改注册表之前就被禁止，如果有少数操作在篡改数据之前没有被禁止，也可以通过恢复机制在最短的时间内将被修改的数据恢复，最终达到注册表中数据与信息的安全与保密。

终端安全风险管理：解析9个终端注册表风险点

相关推荐