清扬内网管理-全网注册表监控功能

　　病毒、木马在计算机里潜伏，需要在注册表里面有引导项。比如：有的病毒木马会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中增加引导项。通过对注册表的引导项乃至任意项值的监控，将极大地提高对病毒木马以及计算机其它运行情况的监控能力。
　　清扬内网管理的全网注册表监控功能能够监控注册表信息，记录操作系统的软件配置信息（例如：杀毒软件版本号等），掌握系统引导程序信息（例如：那些程序启动计算机时自动启动）等，通过全网计算机注册表的统一监控跟踪和建立注册表知识库，有助于在全网范围内及时挖掘各种木马、病毒、流氓软件等的隐身痕迹。（有关清扬内网管理软件试用版本的下载、安装和客户端分发等信息可参考：清扬内网管理产品试用版本的安装和部署简单步骤。此处不再详解。）

　　该功能分为以下几个部分：如何配置需要监控的注册表项；如何启动/停止注册表监控功能；如何看到当前注册表的数据结果；如何查看注册表的新增、修改、删除等事件日志信息；如何建立注册表知识库，对注册表数据进行数据分析和挖掘？  　　
1. 规则设置，如何配置需要监控的注册表项？
1.1 设置注册表监控规则
　　注册表规则包括：根键(*)、子键(*)、名称、检测周期数(*)、对哪些操作系统生效、是否记录注册表项的新增事件、是否记录注册表项的修改事件、是否记录注册表项的删除事件等。

　　操作：在清扬内网管理产品界面下，打开[配置]/[统一监控策略配置]后，可以看到下图。

图表 1 清扬内网管理：统一监控策略配置

　点击上图中“设置注册表监控规则”按钮，出现下图：

图表 2清扬内网管理：设置注册表监控规则

点击上图中“添加”按钮，出现下图：

图表 3 编辑注册表监控规则

　　在这个图中，设置注册表规则。可以看到规则包括根键(*)、子键(*)、名称、检测周期数(*)、是否不支持2000、是否不支持XP、是否不支持2003、是否不记录新增事件、是否不记录修改事件、是否不记录删除事件等。各项参数的配置说明如下。

　　a 根键(*)：预先设定。不需要手工选择，本系统将根据子键的不同而自动选择匹配。

　　b 子键(*)：对应注册表编辑器（regedit.exe）左窗格的子项。首先，在注册表编辑器（regedit.exe）中右键复制项名称，如下图表4。然后，将注册表编辑器中复制的项名称粘贴到子键位置，不需要做额外的操作即可。如下图表。

图表 4注册表窗口左窗格的子项和窗口右窗格中的值项的名称

图表 5编辑注册表监控规则，将复制的项名称粘贴到子键位置

　　c 名称：对应注册表编辑器（regedit.exe）左窗格的值项的名称（如上图表4所示）。可选填，缺省为空。填写该项，表明仅监控子键对应的本值项。

　　d 检测周期数(*)：缺省为1。这个是系统通信间隔相关。检测周期数为0，代表在规定的通信间隔后不读取该注册表项，该注册表监控规则就暂不生效了；检测周期数为1，代表在1个规定的通信间隔后读取该注册表项；检测周期数为2，代表在2个规定的通信间隔后读取该注册表项；以此类推。

　　e 不支持2000：缺省支持windows 2000。选中，则表明该注册表监控规则不检测操作系统为windows 2000的计算机。

　　f 不支持Xp：缺省支持windows Xp。选中，则表明该注册表监控规则不检测操作系统为windows Xp的计算机。

　　g 不支持2003：缺省支持windows 2003。选中，则表明该注册表监控规则不检测操作系统为windows 2003的计算机。

　　h 不记录新增事件：缺省记录注册表新增的事件。选中，则表明不记录。

　　i 不记录修改事件：缺省记录注册表修改的事件。选中，则表明不记录。

　　j 不记录删除事件：缺省记录注册表删除的事件。选中，则表明不记录。

1.2 启动/停止注册表监控
　　清扬内网管理系统缺省是启动注册表监控。所以，一旦在第1.1部分设置注册表监控规则完毕，可以直接跳过本章节，进入第1.3部分观察注册表监控通信状态。本章节主要介绍：如何启动或者停止注册表监控。

1.2.1 开放/关闭注册表监控功能

　　操作：在清扬内网管理产品界面下，可以看到[系统]/[启动注册表监控]和[系统]/[停止注册表监控]两个命令菜单。其中，

　　停止注册表监控：点击该命令，系统将关闭或者停止注册表监控功能。

　　启动注册表监控：点击该命令，系统将开放注册表监控功能。

1.2.2 统一管理策略：允许/禁止使用注册表监控

　　操作：在清扬内网管理产品界面下，打开[配置]/[统一管理策略配置]，出现下图：

　　可以看到，在统一管理策略设置中，有注册表监控策略项。可以选择允许使用和禁止使用。

　　允许使用：表明全网客户端统一允许监控指定的注册表(配置监控哪些注册表项，详见第1.1部分)。

　　禁止使用：表明全网客户端统一禁止监控指定的注册表(配置监控哪些注册表项，详见第1.1部分)。

　　另外，启动/停止注册表监控策略可以在单机管理策略中设置。假设统一管理策略设置禁止使用注册表监控功能后，单机可以有特殊策略，指定该计算机启动允许监控注册表。（请参看第1.2.3部分 单机管理策略）。相比较而言，为单机设置的策略的优先级高于统一管理策略。

图表 6 统一管理策略配置：注册表监控策略可以选择为允许使用或者禁止使用

1.2.3 单机管理策略：允许/禁止使用注册表监控

　　操作：在清扬内网管理产品界面下，打开[管理]/[计算机管理]/[计算机列表]，指定某一台计算机，右键[配置单机管理策略]，出现下图：

图表 7 配置单机管理策略：注册表监控策略可选为单机允许使用|单机禁止使用或遵循统一策略

　　由图可知，监控策略可以选择为单机允许使用、单机禁止使用或者遵循统一策略（随着统一策略的改变而改变）。

　　允许使用：表明不论注册表监控的全网统一策略是禁止或者允许，都启动对该客户端的注册表监控功能（配置监控哪些注册表项，详见第1.1部分）。

　　禁止使用：表明不论注册表监控的全网统一策略是禁止或者允许，都禁止对该客户端的注册表监控功能（配置监控哪些注册表项，详见第1.1部分）。

　　统一（允许使用）：该选项表明当前注册表监控的全网统一策略是全网统一启动注册表监控功能。无单机管理策略。

　　统一（禁止使用）：该选项表明当前注册表监控的全网统一策略是全网统一禁用注册表监控功能。无单机管理策略。

　　另外，假设统一管理策略设置禁止使用注册表监控功能后（请参看第1.2.2部分 统一管理策略），单机设置为不同于统一策略的特殊策略。单机设置的策略的优先级高于统一管理策略。

1.2.4 通过设置无效/生效注册表监控规则，停止/启动注册表监控功能

　　请注意，在前面第1.1部分介绍了注册表监控规则的设置办法，其中在图表5中可以看到一项参数：“检测周期数”。可以通过设置0值，来停止对该注册表规则的监控。

1.3 观察注册表监控通信状态
　　如何看到注册表监控的通信过程和状态呢？通过本章节，你就可以了解管理中心启动对远程计算机注册表监控后的通信过程。

　　操作：在清扬内网管理产品界面下，打开[查看]/[系统状态窗]，观察客户端和管理平台的通信过程，一旦启动注册表监控，将出现下图：

图表 8 监控客户端注册表信息的通信过程和状态

　　图中可以看到上传注册表成功的信息：

　　“上传注册表信息-reading HKLM\SOFTWARE\Microsoft\Windows\CurrentVersison\Run\ ok”。

　　图中可以看到上传注册表发生错误的信息：

　　“上传注册表信息-reading HKLM\This is incorrect subKey\ err OK”。 当然一眼就可以看到该错误来自监控规则的设置错误。

2. 监控注册表项，从哪里看到客户端上传的注册表信息？
　　管理中心把需要监控的注册表项下发给客户端，客户端按照要求定时提交该注册表的信息。管理中心提供报表显示这些注册表的信息。

　　有三类信息。一类是当前注册表项列表；一类是当前注册表规则状态列表；另外一类是注册表新增、更改和删除的日志信息。

2.1注册表项列表
　　注册表项列表：就是客户端最近一次提交的注册表项的当前信息。

　　操作1：打开[管理]/[计算机管理]/[计算机列表]，右键一台计算机[监控与审计]/[注册表项列表]，可以看到该计算机的当前的注册表项列表。如图。

　　操作2：与此对应，打开[管理]/[计算机监控与审计]/[注册表项列表]，可以看到全网所有计算机的注册表项列表信息。

图表 9 指定计算机的计算机注册表项列表

　　如图所示，注册表项列表包括单位、部门、使用人、IP、根键、账户名、子键、名称、是否项、类型、数值、值字节数、是否超出读取能力、别名、建议值、是否病毒、是否木马、是否系统文件、是否间谍程序、是否广告程序、最新刷新时间、操作系统、语言、系统目录、MAC等字段。

　　手工刷新可以得到当前更新信息。

2.2注册表规则状态列表
　　客户端读取自身注册表项信息时，如果该规则中描述的注册表项不存在，就会返回给管理平台一个读取错误的信息。

　　管理平台提供注册表规则状态列表，就是描述客户端提交上来的注册表项是否能够正确读取的状态信息。方便管理员察觉和关注读取错误的注册表项。

　　操作1：打开[管理]/[计算机管理]/[计算机列表]，右键一台计算机[监控与审计]/[注册表规则状态列表]，可以看到该计算机的当前的注册表项读取状态列表。

　　操作2：与此对应，打开[管理]/[计算机监控与审计]/[注册表规则检测状态列表]，可以看到全网所有计算机的注册表规则状态列表信息。如图。

图表 10全网所有计算机的注册表规则状态列表

　　如上所示，注册表规则状态列表包括状态、单位、部门、使用人、IP、根键、账户名、子键、名称、最新刷新时间、操作系统、语言、系统目录、MAC等字段。

　　其中，状态字段反应了对应的注册表项正确或者错误读取的状态。

2.3注册表项信息变更的事件日志列表
　　注册表新增、更改和删除的日志信息：管理中心接受到客户端提交的注册表项的信息后，跟数据库中的信息比对：该注册表项中新增加项则自动加入数据库，同时产生注册表新增事件日志；已有的注册表信息发生变化了，则更新数据库信息，同时产生注册表变更事件或者注册表删除事件日志等。

图表 11 被监控的注册表项中的增加、删除和修改的事件日志

　　如图所示，事件日志包括事件、单位、部门、使用人、IP、描述、附加描述、登录用户、本地时间、管理中心时间、MAC、备注等字段。

3. 专家型高级功能，建立注册表知识库
3.1注册表知识库的建立
　　打开[管理]/[计算机监控与审计]/[注册表项列表]，可以选中任意一个注册表项，右键[编辑知识库]，就可以给这个注册表起别名、指定建议值，从而形成了注册表知识库。

　　注册表知识库组成：类型、审核时间、根键、子键、名称、别名、建议值、是否病毒、是否木马、是否间谍程序、是否广告程序、描述、所属企业、所属产品、是否系统文件、是否后台程序、是否硬件相关、常见错误、安全级别、提供者名称、提供者地址、提供时间等。

3.2注册表知识库的添加、导入、导出和清空
　　打开[配置]/[注册表知识库]，可以右键，添加、导入、导出和清空注册表知识。

4.注册表查询
　　打开[管理]/[查询]，选中[注册表查询]，可以指定注册表的关键字作查询等工作。通过查询，得到该所有匹配该注册表关键字的所有计算机的注册表值。方便比对，得到结果。

北京清扬创新网络科技有限公司 制
2006年8月26日