レジストリキーをブロックして、コマンドラインを使用して誤ってまたは意図的に書き換えまたは削除しないようにします
superuser に投稿があり、同様のケースがありますが、わずかな違いがあります。
Regキーを作成しました。
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe"
そしてコンテンツターゲット:/windows/system32/wscript.exe
また、マルウェアの偶発的または意図的な削除や変更を防ぐために、このキー(または作成したい他のキー)を永続的にブロックする必要があります
質問:
これを行うのに役立つコマンドラインは何ですか?(cmdまたはpowershell、あるいはその両方)
マルウェアによる削除や変更を防ぐために、このキーをブロックする必要があります。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
これを行うのに役立つコマンドラインは何ですか?
質問の link の回答によると、これを行う最も簡単な方法は、SYSTEMおよびAdministratorsグループから編集権限を削除することです。そうすると、キーは事実上読み取り専用になります。
以下の手順に従って、コマンドラインから regini を使用してこれを行うことができます。
警告:
このような変更を行う前に、システム全体をバックアップしたいと思うでしょう(レジストリをバックアップするだけで快適に感じるかもしれません。以下を参照してください)。
以下の手順には、レジストリを変更する方法を説明する手順が含まれています。ただし、レジストリを誤って変更すると、重大な問題が発生する可能性があります。
保護を強化するには、レジストリを変更する前にレジストリをバックアップしてください。その後、問題が発生した場合にレジストリを復元できます。
詳細については、 Windowsでレジストリをバックアップおよび復元する方法 を参照してください。
次の内容のファイル(たとえば、
block.txt)を作成します。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe [2 19]次のコマンドを使用して
block.txtスクリプトを実行し、昇格した(管理者)cmdシェルから実行します。regini block.txt
ノート:
reginiコマンドは、昇格した(管理者)cmdシェルから実行する必要があります。そうしないと、失敗します(エラーは表示されません)。権限エントリは、管理者の読み取りアクセスとシステムの読み取りアクセスである
[2 19]に設定されます。他のユーザーグループにも読み取りアクセスが必要かどうかを慎重に検討する必要があります。
さらに、
[2 8 19]のアクセス許可エントリを使用すると、標準ユーザー(およびフィルター処理されたユーザートークンを持つ管理者アカウント)がキーの読み取りアクセスを許可されます。parentキーのアクセス許可を変更して、サブキーが削除されないようにする必要がある場合があります(これは確認していません)。
参考文献
- Windows CMDコマンドラインのA-Zインデックス -Windowsコマンドラインに関連するすべてのものの優れたリファレンス。
- regini -レジストリのアクセス許可を変更します。
- 方法:スクリプトを使用してコマンドラインからレジストリのアクセス許可を変更する