Windows はリモートでレジストリの編集が可能ですが、意図しない攻撃によってレジストリを外編集されては危険です。こちらでは、リモートレジストリを無効化するための設定を解説します。
リモートレジストリの
状態の確認
コマンドプロンプトを開き、以下のコマンドを実行します。結果の3行目 STATE が 1 STOPED になっていることを確認します。
C:\WINDOWS\system32>sc query RemoteRegistry
SERVICE_NAME: RemoteRegistry
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 1 STOPPED
WIN32_EXIT_CODE : 1077 (0x435)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0リモートレジストリの
無効化
もし、有効であった場合は、Windows サービスである RemoteRegistry を停止します。
C:\WINDOWS\system32>sc config RemoteRegistry start=disabled [SC] ChangeServiceConfig SUCCESS
レジストリは、マルウェアが自分自身を格納するストレージとして利用されるケースがあり、アクセス権の管理が重要です。以下では、レジストリのアクセス権について解説します。
レジストリハイブの
アクセス権の監査
1. 管理者権限で立ち上げたコマンドプロンプトから、regiedit.exe を実行します。
2. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SECURITY] で右クリックし、[アクセス許可] をクリックし、[詳細設定] をクリックします。
3. 次のアクセス許可を確認します。基本的に規定値を維持します。
| 種類 | プリンシパル | アクセス | 継承元 | 適用先 |
| 許可 | SYSTEM | フルコントロール | なし | このキーとサブキー |
| 許可 | Administrators | 特殊 | なし | このキーとサブキー |
4. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SOFTWARE] で右クリックし、[アクセス許可] をクリックし、[詳細設定] をクリックします。
5. 次のアクセス許可を確認します。基本的に規定値を維持します。
| 種類 | プリンシパル | アクセス | 継承元 | 適用先 |
| 許可 | Users | 読み取り | なし | このキーとサブキー |
| 許可 | SYSTEM | フルコントロール | なし | このキーとサブキー |
| 許可 | Administrators | 特殊 | なし | このキーとサブキー |
| 許可 | CREATOR OWNER | フルコントロール | なし | このキーとサブキー |
| 許可 | ALL APPLICATION PACKAGES | 読み取り | なし | このキーとサブキー |
6. [コンピュータ]>[HKEY_LOCAL_MACHINE]>[SYSTEM] で右クリックし、[アクセス許可] をクリックし、[詳細設定] をクリックします。
7. 次のアクセス許可を確認します。基本的に規定値を維持します。
| 種類 | プリンシパル | アクセス | 継承元 | 適用先 |
| 許可 | Users | 読み取り | なし | このキーとサブキー |
| 許可 | SYSTEM | フルコントロール | なし | このキーとサブキー |
| 許可 | Administrators | 特殊 | なし | このキーとサブキー |
| 許可 | CREATOR OWNER | フルコントロール | なし | このキーとサブキー |
| 許可 | ALL APPLICATION PACKAGES | 読み取り | なし | このキーとサブキー |
