访问控制：理解 Windows 文件和注册表权限

为 HKLM 设置 DACL 的一般原则是必须使用户不能写入或修改此数据、相关联的 ACL 和所有权。与设置系统区域中文件系统 DACL 的指导原则一样，使用用户权限或在受限环境中运行的应用程序或服务需要记录错误消息时，属于特例情况。对这种情况的指导原则与文件系统中解决类似问题的原则相似—为此类信息创建单独的项并为其设置适当的 ACL。因此，敏感信息可以通过 ACL 设置给受信主体（管理员、系统等），而日志数据也可在需要时允许写入。