Заблокируйте раздел реестра, чтобы предотвратить перезапись или удаление случайно или преднамеренно с помощью командной строки

Question

Я вижу сообщение в суперпользователе, и у меня похожий случай, но с небольшой разницей.

Я создал ключ рег.

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe"

И цель содержимого: /windows/system32/wscript.exe

И мне нужно навсегда заблокировать этот ключ (или любой другой ключ, который я хочу создать), чтобы предотвратить случайное или преднамеренное удаление или модификацию любого вредоносного ПО.

Вопрос:

Какая командная строка может помочь мне сделать это? (CMD или PowerShell или оба)

Спасибо

Решено!

ДэвидПостилл (и благодаря вкладу w32sh)

Answer 1

Мне нужно заблокировать этот ключ, чтобы предотвратить удаление или изменение вредоносными программами.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe

Какая командная строка может помочь мне сделать это?

Согласно ответам в ссылке на ваш вопрос, самый простой способ сделать это - удалить разрешения на редактирование из SYSTEM и групп администраторов, после чего ключ должен эффективно использоваться только для чтения.

Вы можете сделать это из командной строки с помощью regini , выполнив следующую процедуру.

---

Предупреждение:

• Я бы очень хотел сделать резервную копию всей вашей системы перед внесением таких изменений (вы можете чувствовать себя комфортно, просто создав резервную копию реестра - см. Ниже).

• Приведенные ниже инструкции содержат шаги, которые говорят вам, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы.

• Для дополнительной защиты создайте резервную копию реестра, прежде чем изменять его. Затем вы можете восстановить реестр, если возникнет проблема.

• Дополнительные сведения см. В разделе « Резервное копирование и восстановление реестра в Windows».

---

1. Создайте файл (например, block.txt) со следующим содержимым:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe [2 19]
   

2. Выполните сценарий block.txt с помощью следующей команды, запускать с повышенной (Administrator) cmd оболочки:

   regini block.txt
   

Заметки:

• regini команда должна выполняться с повышенной (Administrator) cmd оболочки, в противном случае он не сможет (не будут отображаться без ошибок).

• Запись разрешения установлена на [2 19] что означает «Доступ для чтения администратора» и «Доступ для чтения системы».

• Вам необходимо тщательно продумать, требуют ли другие группы пользователей также доступа для чтения.

  Использование записи разрешения [2 8 19] дополнительно позволит также обычным пользователям (и учетным записям администраторов с отфильтрованным токеном пользователя) доступ для чтения ключа.

• Возможно, вам придется изменить разрешения родительского ключа, чтобы предотвратить удаление вложенных ключей (я не проверял это).

---

Дальнейшее чтение

• Индекс AZ командной строки Windows CMD - Отличный справочник по всем вопросам, связанным с командной строкой Windows.
• regini - Изменить разрешения реестра.
• Как: использовать скрипт для изменения разрешений реестра из командной строки