高权限修改注册表时为何常遇“拒绝访问”错误？

一、现象层：表象“拒绝访问” ≠ 权限未授予

当以Administrator账户登录并双击运行PowerShell或RegEdit时，仍频繁遭遇ERROR_ACCESS_DENIED (0x5)——这并非传统意义的“没给权限”，而是Windows安全子系统在多个维度上主动拦截。尤其在修改HKEY_LOCAL_MACHINE\SOFTWARE或\SYSTEM\CurrentControlSet\Control\SecureBoot等路径时，错误日志中几乎不出现SID缺失提示，反而表现为静默拒绝。

二、机制层：UAC + ACL + MIC 三重门禁协同生效

• UAC令牌切分：即使登录为Administrator，初始shell进程默认获得Filtered Token（含S-1-5-32-544但被移除SeDebugPrivilege等高危权限）；必须通过“以管理员身份运行”触发UAC Consent Prompt，生成含完整Administrators组SID且Integrity Level=High的令牌。
• ACL细粒度控制：HKLM下多数键默认ACL仅允许NT AUTHORITY\SYSTEM和BUILTIN\Administrators（Explicit Allow），但要求该ACE对应进程令牌中必须存在未被过滤的Administrators SID——普通管理员进程因UAC过滤而失效。
• MIC强制完整性检查：SecureBoot、CI Policy、Lsa相关键启用Low/High Mandatory Level标签。Process Explorer可验证：cmd.exe（Medium IL）写HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot必失败，即使ACL全开。

三、干扰层：非权限类阻断因素深度解析

四、诊断层：精准定位拒绝根源的标准化流程

1. 启动Process Monitor v4.0+，添加过滤器：Operation is RegSetValueKey + Result is ACCESS DENIED
2. 右键失败事件 → Properties → Stack，确认调用方模块与父进程完整性级别（可通过whoami /groups /fo list | findstr "Mandatory"交叉验证）
3. 使用accesschk64.exe -k -q "HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot"比对当前进程Token中的Groups与目标Key的DACL
4. 检查MIC：psgetsid64.exe -i输出中查找Mandatory Label\High Mandatory Level是否存在

五、解决层：多场景适配的工程化修复方案

# 场景1：需High IL写SecureBoot（PowerShell）
Start-Process powershell.exe -ArgumentList "-Command "New-ItemProperty -Path 'HKLM:\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot\\Policy' -Name 'Test' -Value 1 -PropertyType DWord"" -Verb RunAs

# 场景2：绕过虚拟化（32位应用写HKLM）
if ([Environment]::Is64BitOperatingSystem) {
  $key = "HKLM:\SOFTWARE\WOW6432Node\MyApp"
} else {
  $key = "HKLM:\SOFTWARE\MyApp"
}
New-Item -Path $key -Force | Out-Null

六、架构层：Windows注册表安全模型全景图