防止用户写入客户端计算机上的注册表

可以通过防止用户访问或修改注册表中的任何注册表项或值,保护特定的注册表项。可以允许用户查看此注册表项,但不允许其重命名或修改此注册表项。
测试这一功能:
  • 添加一个测试注册表项。
  • 添加一个允许读取但不允许写入此注册表项的规则。
  • 尝试向此注册表项添加一个新值。
  1. 要添加测试注册表项,请在客户端计算机上打开命令行,再通过键入
    regedit
    打开注册表编辑器。
  2. 在注册表编辑器中,展开 HKEY_LOCAL_MACHINE\Software,然后创建一个名为 test 的新注册表项。
  3. 若要防止用户在客户端计算机上向注册表写入内容,请打开应用程序控制策略,并在“
    应用程序控制
    ”窗格中单击“
    添加
    ”。
  4. 在“
    编辑应用程序控制规则集
    ”中的“
    规则
    ”列表下,单击
    “添加”>“添加规则”
  5. 在“
    属性
    ”选项卡中的“
    规则名称
    ”文本框中,键入
    HKLM_write_not_allowed_from_regedit
  6. 在“
    将此规则应用于下列进程
    ”右侧,单击“
    添加
    ”。
  7. 在“
    添加进程定义
    ”对话框中的“
    要匹配的进程名称
    ”下,键入
    regedit.exe
    ,然后单击“
    确定
    ”。
  8. 在“
    应用程序控制规则集
    ”对话框中的“
    规则
    ”列表下,单击
    “添加”>“添加条件”>“注册表访问尝试”
  9. 在“
    属性
    ”选项卡中的“
    说明
    ”文本框中,键入“
    注册表访问
    ”。
  10. 在“
    将此规则应用于下列进程
    ”右侧,单击“
    添加
    ”。
  11. 在“
    添加注册表项定义
    ”对话框中的“
    注册表项
    ”文本框中,键入
    HKEY_LOCAL_MACHINE\software\test
    ,然后单击“
    确定
    ”。
  12. 在“
    应用程序控制规则集
    ”对话框的“
    操作
    ”选项卡上,单击“
    读取尝试
    ”组框中的“
    允许访问
    ”、“
    启用日志记录
    ”和“
    通知用户
    ”。
  13. 在“
    通知用户
    ”下,键入“
    允许读取
    ”。
  14. 在“
    创建、删除或写入尝试
    ”组框中,单击“
    禁止访问
    ”、“启
    用日志记录
    ”和“
    通知用户
    ”。
  15. 在“
    通知用户
    ”下,键入“
    禁止写入
    ”。
  16. 单击“
    确定
    ”两次,然后将策略分配给组。
    测试规则。
  17. 若要测试阻止向注册表写入内容的规则,请在应用策略后在客户端计算机上的注册表编辑器中展开 HKEY_LOCAL_MACHINE\Software。
  18. 单击您之前创建的名为 test 的注册表项。
  19. 右键单击此 test 项,单击“
    新建
    ”,然后单击“
    字符串值
    ”。
    您应该无法向此 test 注册表项添加新值。