Rejestr^(Registry) systemu Windows to zbiór konfiguracji, wartości i właściwości aplikacji systemu Windows, a także systemu operacyjnego Windows, który jest zorganizowany i przechowywany w sposób hierarchiczny w pojedynczym repozytorium.

Za każdym razem, gdy nowy program zostanie zainstalowany w systemie Windows , w ^(Windows)rejestrze systemu^{(Windows Registry)} Windows zostanie wprowadzony wpis z jego atrybutami, takimi jak rozmiar, wersja, lokalizacja w pamięci itp.

Ponieważ informacje te są przechowywane w bazie danych, nie tylko system operacyjny jest świadomy wykorzystywanych zasobów, ale także inne aplikacje mogą czerpać korzyści z tych informacji, ponieważ są świadome wszelkich konfliktów, które mogą powstać, jeśli określone zasoby lub pliki będą współ- istnieć.

Co to jest rejestr systemu Windows^{(Windows Registry)} i jak^(How) to działa?

Rejestr systemu Windows^{(Windows Registry)} jest naprawdę sercem działania systemu Windows^(Windows) . Jest to jedyny system operacyjny, który wykorzystuje takie podejście do rejestru centralnego. Gdybyśmy mieli wizualizować, każda część systemu operacyjnego musi wchodzić w interakcję z rejestrem Windows^{(Windows Registry)} od sekwencji rozruchu do czegoś tak prostego, jak zmiana nazwy pliku.

Mówiąc^(Simply) najprościej, jest to po prostu baza danych podobna do katalogu kart bibliotecznych, w której wpisy w rejestrze są jak stos kart przechowywany w katalogu kart. Klucz rejestru byłby kartą, a wartość rejestru byłaby ważną informacją zapisaną na tej karcie. System operacyjny Windows używa rejestru do przechowywania szeregu informacji używanych do kontrolowania naszego systemu i oprogramowania oraz zarządzania nimi. Może to być wszystko, od informacji o sprzęcie komputera po preferencje użytkownika i typy plików. Prawie^(Almost) każda forma konfiguracji, którą wykonujemy w systemie Windows^(Windows) , wiąże się z edycją rejestru.

Historia rejestru systemu Windows

W początkowych wersjach systemu Windows twórcy aplikacji musieli dołączyć oddzielne rozszerzenie pliku .ini wraz z plikiem wykonywalnym. Ten plik .ini zawierał wszystkie ustawienia, właściwości i konfigurację wymagane do prawidłowego działania danego programu wykonywalnego. Okazało się to jednak bardzo nieefektywne ze względu na nadmiarowość pewnych informacji, a także stanowiło zagrożenie bezpieczeństwa dla programu wykonywalnego. W rezultacie nowa implementacja znormalizowanej, scentralizowanej i bezpiecznej technologii była oczywistą koniecznością.

Wraz z pojawieniem się Windows 3.1 , podstawowa wersja tego zapotrzebowania została zaspokojona dzięki centralnej bazie danych wspólnej dla wszystkich aplikacji i systemu zwanej Rejestrem Windows^{(Windows Registry)} .

To narzędzie było jednak bardzo ograniczone, ponieważ aplikacje mogły przechowywać tylko niektóre informacje konfiguracyjne pliku wykonywalnego. Z biegiem lat, Windows 95 i Windows NT dalej rozwijane na tym fundamencie, wprowadziły centralizację jako podstawową funkcję w nowszej wersji Rejestru Windows^{(Windows Registry)} .

To powiedziawszy, przechowywanie informacji w Rejestrze Windows^{(Windows Registry)} jest opcją dla twórców oprogramowania. Tak więc, jeśli twórca aplikacji miałby stworzyć przenośną aplikację, nie musi dodawać informacji do rejestru, lokalna pamięć masowa z konfiguracją, właściwościami i wartościami może zostać utworzona i pomyślnie przesłana.

Istotność Rejestru Windows^{(Windows Registry)} w odniesieniu do innych systemów operacyjnych

Windows to jedyny system operacyjny, który wykorzystuje takie podejście do centralnego rejestru. Gdybyśmy mieli wizualizować, każda część systemu operacyjnego musi wchodzić w interakcję z Rejestrem Windows^{(Windows Registry)} od sekwencji rozruchu do zmiany nazwy pliku.

Wszystkie inne systemy operacyjne, takie jak iOS, Mac OS , Android i Linux , nadal używają plików tekstowych do konfigurowania systemu operacyjnego i modyfikowania jego zachowania.

W większości wariantów Linuksa^(Linux) pliki konfiguracyjne są zapisywane w formacie .txt , staje się to problemem, gdy musimy pracować z plikami tekstowymi, ponieważ wszystkie pliki .txt są uważane za krytyczne pliki systemowe. Więc jeśli spróbujemy otworzyć pliki tekstowe w tych systemach operacyjnych, nie będziemy mogli ich wyświetlić. Te systemy operacyjne próbują ukryć to jako środek bezpieczeństwa, ponieważ wszystkie pliki systemowe, takie jak konfiguracje karty sieciowej, zapory, systemu operacyjnego, graficznego interfejsu użytkownika, interfejsu kart wideo itp., są zapisywane w formacie ASCII.^{(ASCII format.)}

Aby obejść ten problem, zarówno macOS, jak i iOS, wdrożyły zupełnie inne podejście do rozszerzenia pliku tekstowego, implementując rozszerzenie .plist^{(.plist extension)} , które zawiera wszystkie informacje o konfiguracji systemu i aplikacji, ale nadal zapewnia korzyści z posiadania pojedynczego rejestru. przeważają nad prostą zmianą rozszerzenia pliku.

Jakie są zalety rejestru systemu Windows^{(Windows Registry)} ?

Ponieważ każda^(Every) część systemu operacyjnego stale komunikuje się z Rejestrem Windows^{(Windows Registry)} , musi być przechowywana w bardzo szybkim magazynie. Dlatego^(Hence) ta baza danych została zaprojektowana z myślą o niezwykle szybkich odczytach i zapisach, a także wydajnym przechowywaniu.

Gdybyśmy mieli otworzyć i sprawdzić rozmiar bazy danych rejestru, zwykle wahałaby się ona od 15 do 20 megabajtów, co czyni ją wystarczająco małą, aby zawsze była ładowana do pamięci RAM^(RAM) ( pamięć o dostępie swobodnym^{(Random Access Memory)} ), która przypadkowo jest najszybszą dostępną pamięcią system operacyjny.

Ponieważ rejestr musi być ładowany do pamięci przez cały czas, jeśli rozmiar rejestru jest duży, nie pozostawi on wystarczającej ilości miejsca, aby wszystkie inne aplikacje działały płynnie lub w ogóle. Byłoby to szkodliwe dla wydajności systemu operacyjnego, dlatego rejestr systemu Windows^{(Windows Registry)} został zaprojektowany z myślą o wysokiej wydajności.

Jeśli wielu użytkowników wchodzi w interakcję z tym samym urządzeniem i istnieje wiele wspólnych aplikacji, ponowna instalacja tych samych aplikacji dwa lub kilka razy byłaby stratą dość drogiej pamięci masowej. Rejestr systemu Windows^(Windows) doskonale sprawdza się w tych scenariuszach, w których konfiguracja aplikacji jest współużytkowana przez różnych użytkowników.

To nie tylko zmniejsza całkowitą ilość używanej pamięci, ale także daje użytkownikom dostęp do wprowadzania zmian w konfiguracji aplikacji z jednego portu interakcji. Oszczędza to również czas, ponieważ użytkownik nie musi ręcznie przechodzić do każdego pliku .ini magazynu lokalnego .

Scenariusze z wieloma użytkownikami^(Multi-User) są bardzo powszechne w konfiguracjach korporacyjnych, w tym przypadku istnieje silna potrzeba dostępu z uprawnieniami użytkownika. Ponieważ nie wszystkie informacje lub zasoby mogą być udostępniane wszystkim, potrzeba dostępu użytkownika opartego na prywatności została łatwo zaimplementowana za pośrednictwem scentralizowanego rejestru systemu Windows. Tutaj administrator sieci zastrzega sobie prawo do wstrzymania lub zezwolenia na podstawie podjętej pracy. Dzięki temu pojedyncza baza danych jest wszechstronna, a także solidna, ponieważ aktualizacje mogą być przeprowadzane jednocześnie ze zdalnym dostępem do wszystkich rejestrów wielu urządzeń w sieci.

Jak działa rejestr systemu Windows?

Przyjrzyjmy się podstawowym elementom rejestru systemu Windows^{(Windows Registry)} , zanim zaczniemy brudzić sobie ręce.

Rejestr systemu Windows^{(Windows Registry)} składa się z dwóch podstawowych elementów zwanych kluczem rejestru^{(Registry Key)} , który jest obiektem kontenera lub po prostu jest jak folder, w którym przechowywane są różne typy plików oraz wartości rejestru^{(Registry Values)} , które nie są obiektami kontenera, które są jak pliki, które może mieć dowolny format.

Powinieneś także wiedzieć: ^{(You should also know:)} Jak przejąć pełną kontrolę lub prawo własności do kluczy rejestru systemu Windows^{(How to Take Full Control or Ownership of Windows Registry Keys)}

Jak uzyskać dostęp do rejestru systemu Windows?

Możemy uzyskać dostęp do rejestru systemu Windows^{(Windows Registry)} i skonfigurować go za pomocą narzędzia Edytor rejestru , ^{(Registry Editor)}Microsoft zawiera bezpłatne narzędzie do edycji rejestru wraz z każdą wersją swojego systemu operacyjnego Windows^{(Windows Operating System)} .

Dostęp do tego Edytora rejestru^{(Registry Editor)} można uzyskać, wpisując "Regedit" w wierszu polecenia^{(Command Prompt)} lub po prostu wpisując "Regedit" w polu wyszukiwania lub uruchamiania z menu Start . Ten edytor jest portalem umożliwiającym dostęp do rejestru systemu Windows^(Windows) i pomaga nam eksplorować i wprowadzać zmiany w rejestrze. Rejestr to termin ogólny używany przez różne pliki bazy danych znajdujące się w katalogu instalacji systemu Windows^(Windows) .

Czy edytowanie Edytora rejestru jest bezpieczne?^{(Is it Safe to edit Registry Editor?)}

Jeśli nie wiesz, co robisz, niebezpiecznie jest bawić się konfiguracją rejestru . ^(Registry)Za każdym razem, gdy edytujesz Rejestr^(Registry) , upewnij się, że postępujesz zgodnie z instrukcjami i zmieniaj tylko to, co zgodnie z instrukcjami.

Jeśli świadomie lub przypadkowo usuniesz coś z rejestru systemu Windows^{(Windows Registry)} , może to zmienić konfigurację systemu, co może doprowadzić do niebieskiego ekranu^{(Blue Screen)} śmierci lub^(Death) systemu Windows nie uruchomi się.

Dlatego generalnie zaleca się wykonanie kopii zapasowej rejestru systemu Windows^{(backup Windows Registry)} przed wprowadzeniem w nim jakichkolwiek zmian. Możesz także utworzyć punkt przywracania systemu^{(create a system restore point)} (który automatycznie tworzy kopię zapasową Rejestru^(Registry) ), którego można użyć, jeśli kiedykolwiek zajdzie potrzeba przywrócenia normalnych ustawień Rejestru . ^(Registry)Ale jeśli tylko to, co ci powiedziano, nie powinno być żadnego problemu. Jeśli chcesz wiedzieć, jak przywrócić rejestr systemu Windows, ten samouczek^{(restore Windows Registry then this tutorial)} wyjaśnia, jak to zrobić w prosty sposób.

Przyjrzyjmy się strukturze rejestru systemu Windows^{(Windows Registry)}

Użytkownik znajduje się w niedostępnym miejscu przechowywania, które istnieje tylko dla dostępu systemu operacyjnego.

Klucze^(Keys) te są ładowane do pamięci RAM^(RAM) podczas rozruchu systemu i są stale przesyłane w określonym przedziale czasu lub w przypadku wystąpienia określonego zdarzenia lub zdarzeń na poziomie systemu.

Pewna część tych kluczy rejestru jest przechowywana na dysku twardym. Te klucze, które są przechowywane na dysku twardym, nazywane są ulami. Ta sekcja rejestru zawiera klucze rejestru, podklucze rejestru i wartości rejestru. W zależności od poziomu uprawnień, jakie otrzymał użytkownik, miałby on dostęp do niektórych części tych kluczy.

Klucze znajdujące się na szczycie hierarchii w rejestrze rozpoczynającym się od HKEY są uważane za gałęzie.

W Edytorze^(Editor) ule znajdują się po lewej stronie ekranu, gdy wszystkie klawisze są wyświetlane bez rozwijania. Są to klucze rejestru, które pojawiają się jako foldery.

Przyjrzyjmy się strukturze klucza rejestru systemu Windows i jego podkluczy:

Przykład nazwy klucza – „HKEY_LOCAL_MACHINESYSTEMINputBreakloc_0804”

Tutaj „loc_0804” odnosi się do podklucza „Break” odnosi się do podklucza „Input”, który odnosi się do podklucza „SYSTEM” klucza głównego HKEY_LOCAL_MACHINE .

Wspólne klucze główne w rejestrze systemu Windows^{(Common Root Keys in Windows Registry)}

Każdy z poniższych kluczy to osobna gałąź, która zawiera więcej kluczy w kluczu najwyższego poziomu.

i. HKEY_CLASSES_ROOT

Jest to gałąź rejestru rejestru systemu Windows^{(Windows Registry)} , która składa się z informacji o skojarzeniu rozszerzeń plików, identyfikatora programowego^{(programmatic identifier)} ( ProgID ), danych identyfikatora interfejsu^{(Interface ID)} ( IID ) oraz identyfikatora klasy (CLSID)^{(Class ID (CLSID))} .

Ta gałąź rejestru  HKEY_CLASSES_ROOT jest bramą dla wszelkich działań lub zdarzeń, które mają miejsce w systemie operacyjnym Windows . Załóżmy^(Suppose) , że chcemy uzyskać dostęp do niektórych plików mp3 w folderze Pobrane . ^(Downloads)System operacyjny uruchamia swoje zapytanie, aby podjąć wymagane działania.

W momencie, gdy uzyskasz dostęp do ula HKEY_CLASSES_ROOT , naprawdę łatwo jest przytłoczyć tak ogromną listę plików rozszerzeń. Jednak to właśnie te klucze rejestru sprawiają, że system Windows działa płynnie

Oto kilka przykładów kluczy rejestru gałęzi HKEY_CLASSES_ROOT :

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Za każdym razem, gdy klikniemy dwukrotnie i otworzymy plik, powiedzmy, zdjęcie, system wysyła zapytanie przez HKEY_CLASSES_ROOT , gdzie wyraźnie podane są instrukcje, co zrobić, gdy taki plik jest wymagany. Tak więc system kończy się otwarciem przeglądarki zdjęć wyświetlającej żądany obraz.

W powyższym przykładzie rejestr wykonuje wywołanie kluczy przechowywanych w kluczu HKEY_CLASSES_ROOT\.jpgGałąź HKEY_CLASSES_ROOT to zbiorcze dane znalezione zarówno w gałęzi HKEY_LOCAL_MACHINE ( HKEY_LOCAL_MACHINE\Software\Classes ), jak i  HKEY_CURRENT_USER ( HKEY_CURRENT_USER\Software\Classes ). Tak więc, gdy klucz rejestru znajduje się w dwóch lokalizacjach, powoduje konflikty. Zatem dane znalezione w HKEY_CURRENT_USER\Software\Classes są używane w HKEY_CLASSES_ROOT . Dostęp do niego można uzyskać, otwierając klucz HKEY_CLASSES po lewej stronie ekranu.

ii. HKEY_LOCAL_MACHINE

Jest to jedna z kilku gałęzi rejestru, które przechowują wszystkie ustawienia specyficzne dla komputera lokalnego. Jest to klucz globalny, w którym przechowywane informacje nie mogą być edytowane przez żadnego użytkownika ani program. Ze względu^(Due) na globalny charakter tego podklucza wszystkie informacje przechowywane w tej pamięci mają postać wirtualnego kontenera działającego w sposób ciągły w pamięci RAM . ^(RAM)Większość informacji konfiguracyjnych dla zainstalowanych przez użytkowników oprogramowania, a sam system operacyjny Windows jest zajęty w ^(Windows)kluczu HKEY_LOCAL_MACHINE^{(HKEY_LOCAL_MACHINE)} . Cały aktualnie wykryty sprzęt jest przechowywany w gałęzi HKEY_LOCAL_MACHINE .

Dowiedz się również, jak: ^{(Also know how to:)} Napraw awarie Regedit.exe podczas przeszukiwania rejestru^{(Fix Regedit.exe Crashes when searching through Registry)}

Ten klucz rejestru jest dalej podzielony na 7 podkluczy:^{(This registry key is further divided into 7 sub-keys:)}

1. SAM ( Security Accounts Manager ) – jest to plik klucza rejestru, który przechowuje hasła użytkowników w bezpiecznym formacie (w hashu LM i NTLM ). Funkcja skrótu to forma szyfrowania służąca do ochrony informacji o kontach użytkowników.

Jest to zablokowany plik, który znajduje się w systemie pod C:WINDOWSsystem32config, którego nie można przenieść ani skopiować, gdy system operacyjny jest uruchomiony.

System Windows^(Windows) używa pliku klucza rejestru Security Accounts Manager do uwierzytelniania użytkowników podczas logowania się na swoje konta Windows . Za każdym razem, gdy użytkownik się loguje, system Windows^(Windows) używa serii algorytmów skrótu do obliczenia skrótu wprowadzonego hasła. Jeśli skrót wprowadzonego hasła jest równy skrótowi hasła w pliku rejestru SAM^{(SAM registry file)} , użytkownicy będą mogli uzyskać dostęp do swojego konta. Jest to również plik, na który atakuje większość hakerów.

2. Bezpieczeństwo^{(2. Security)} (dostępne tylko dla administratora) — ten klucz rejestru jest lokalny dla konta użytkownika administracyjnego, który jest zalogowany w bieżącym systemie. Jeśli system jest zarządzany przez jakąkolwiek organizację, użytkownicy nie mogą uzyskać dostępu do tego pliku, chyba że użytkownikowi przyznano jawnie dostęp administracyjny. Gdybyśmy mieli otworzyć ten plik bez uprawnień administratora, byłby on pusty. Teraz, jeśli nasz system jest podłączony do sieci administracyjnej, ten klucz będzie domyślnie ustawiony na lokalny profil bezpieczeństwa systemu ustanowiony i aktywnie zarządzany przez organizację. Ten klucz jest powiązany z SAM , więc po pomyślnym uwierzytelnieniu, w zależności od poziomu uprawnień użytkownika, stosowane są różne zasady lokalne i grupowe^{(group policies)} .

3. System (krytyczny proces rozruchu i inne funkcje jądra) — ten podklucz zawiera ważne informacje związane z całym systemem, takie jak nazwa komputera, aktualnie zamontowane urządzenia sprzętowe, system plików i rodzaj zautomatyzowanych działań, które można podjąć w określonym zdarzeniu, powiedzmy tam jest niebieski ekran śmierci^{(Blue screen of death)} z powodu przegrzania procesora^(CPU) , istnieje logiczna procedura, która automatycznie rozpocznie przyjmowanie przez komputer w takim przypadku. Dostęp do tego pliku mają tylko użytkownicy z wystarczającymi uprawnieniami administracyjnymi. Po uruchomieniu systemu wszystkie dzienniki są dynamicznie zapisywane i odczytywane. Różne parametry systemu, takie jak alternatywne konfiguracje, które są znane jako zestawy sterujące.

4. Oprogramowanie^{(4. Software )} Tutaj przechowywane są wszystkie konfiguracje oprogramowania innych firm, takie jak sterowniki typu plug and play. ^{(Third-party)}Ten podklucz zawiera ustawienia oprogramowania i systemu Windows^(Windows) powiązane z istniejącym profilem sprzętu, które mogą być zmieniane przez różne aplikacje i instalatory systemu. Twórcy oprogramowania^(Software) mogą ograniczać lub zezwalać na dostęp użytkowników do informacji, gdy ich oprogramowanie jest używane, można to ustawić za pomocą podklucza „Policies”, który wymusza ogólne zasady użytkowania aplikacji i usług systemowych, które zawierają używane certyfikaty systemowe do uwierzytelniania, autoryzacji lub blokowania niektórych systemów lub usług.

5. Sprzęt^{(5. Hardware)} będący podkluczem tworzonym dynamicznie podczas uruchamiania systemu

6. Komponenty^{(6. Components )} Informacje o konfiguracji komponentów dla poszczególnych urządzeń dla całego systemu można znaleźć tutaj

7. BCD.dat (w folderze oot na partycji systemowej), który jest krytycznym plikiem, który system odczytuje i rozpoczyna wykonywanie podczas sekwencji rozruchu systemu poprzez załadowanie rejestru do pamięci RAM^(RAM) .

iii. HKEY_CURRENT_CONFIG

Głównym powodem istnienia tego podklucza jest przechowywanie wideo oraz ustawień sieciowych. Mogą to być wszystkie informacje dotyczące karty graficznej, takie jak rozdzielczość, częstotliwość odświeżania, współczynnik kształtu itp., A także sieć

Jest to również gałąź rejestru, część rejestru systemu Windows^{(Windows Registry)} i przechowująca informacje o aktualnie używanym profilu sprzętowym. HKEY_CURRENT_CONFIG jest w rzeczywistości wskaźnikiem do klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry . Jest to po prostu wskaźnik do aktualnie aktywnego profilu sprzętowego wymienionego w HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles .

Tak więc HKEY_CURRENT_CONFIG pomaga nam przeglądać i modyfikować konfigurację profilu sprzętowego bieżącego użytkownika, co możemy zrobić jako administrator w dowolnej z trzech wymienionych powyżej lokalizacji, ponieważ wszystkie są takie same.

iv. HKEY_CURRENT_USER

Część gałęzi rejestru zawierająca ustawienia magazynu oraz informacje o konfiguracji systemu Windows^(Windows) i oprogramowania specyficzne dla aktualnie zalogowanego użytkownika. Na przykład różne wartości rejestru w kluczach rejestru znajdują się w ustawieniach kontroli gałęzi HKEY_CURRENT_USER na poziomie użytkownika, takich jak układ klawiatury, zainstalowane drukarki, tapeta pulpitu, ustawienia wyświetlania, zmapowane dyski sieciowe i inne.

Wiele ustawień konfigurowanych w różnych apletach w Panelu sterowania^{(Control Panel)} jest przechowywanych w  gałęzi rejestru HKEY_CURRENT_USER . Ponieważ gałąź HKEY_CURRENT_USER jest specyficzna dla użytkownika, na tym samym komputerze zawarte w niej klucze i wartości będą się różnić w zależności od użytkownika. Różni się to od większości innych gałęzi rejestru, które są globalne, co oznacza, że ​​przechowują te same informacje dla wszystkich użytkowników w systemie Windows^(Windows) .

Kliknięcie po lewej stronie ekranu w edytorze rejestru da nam dostęp do klucza HKEY_CURRENT_USER^{(HKEY_CURRENT_USER)} . Ze względów bezpieczeństwa informacje przechowywane w kluczu HKEY_CURRENT_USER to tylko wskaźnik do klucza umieszczonego w gałęzi HKEY_USERS jako nasz identyfikator bezpieczeństwa. Zmiany wprowadzone w jednym z obszarów zaczną obowiązywać natychmiast.

v. HKEY_USERS

Zawiera podklucze odpowiadające kluczom HKEY_CURRENT_USER dla każdego profilu użytkownika. Jest to również jedna z wielu gałęzi rejestru, które mamy w rejestrze systemu Windows^{(Windows Registry)} .

Wszystkie dane konfiguracyjne użytkownika są tutaj rejestrowane dla każdego, kto aktywnie korzysta z urządzenia, a tego rodzaju informacje są przechowywane w kluczu HKEY_USERS^(HKEY_USERS) . Wszystkie informacje dotyczące konkretnego użytkownika przechowywane w systemie, które odpowiadają danemu użytkownikowi, są przechowywane w gałęzi HKEY_USERS , możemy jednoznacznie zidentyfikować użytkowników za pomocą identyfikatora bezpieczeństwa lub identyfikatora SID^{(security identifier or the SID)} , który rejestruje wszystkie zmiany konfiguracji wprowadzone przez użytkownika.

Wszyscy ci aktywni użytkownicy, których konto istnieje w gałęzi HKEY_USERS w zależności od uprawnień przyznanych przez administratora systemu, będą mogli uzyskać dostęp do współdzielonych zasobów, takich jak drukarki, sieć lokalna, lokalne dyski pamięci masowej, tło pulpitu itp. Ich konto ma określony rejestr klucze i odpowiadające im wartości rejestru przechowywane pod identyfikatorem SID^(SID) bieżącego użytkownika .

Jeśli chodzi o informacje kryminalistyczne, każdy identyfikator SID^(SID) przechowuje ogromną ilość danych na temat każdego użytkownika, ponieważ rejestruje każde zdarzenie i działania podejmowane na koncie użytkownika. Obejmuje to nazwę użytkownika ,^(Name) liczbę logowań użytkownika do komputera, datę i godzinę ostatniego logowania, datę i godzinę zmiany ostatniego hasła, liczbę nieudanych logowań i tak dalej. Ponadto zawiera również informacje rejestru dotyczące ładowania systemu Windows^(Windows) i wyświetlania monitu logowania.

Zalecane: ^{(Recommended:)} Napraw Edytor rejestru przestał działać^{(Fix The Registry editor has stopped working)}

Klucze rejestru dla domyślnego użytkownika są przechowywane w pliku ntuser.dat w profilu, który musielibyśmy załadować jako gałąź za pomocą regedit, aby dodać ustawienia dla domyślnego użytkownika.

Rodzaje danych, których możemy się spodziewać w rejestrze systemu Windows^{(Types of data we can expect to find in the Windows Registry)}

Wszystkie omówione powyżej klucze i podklucze będą miały konfiguracje, wartości i właściwości zapisane w dowolnym z następujących typów danych, zwykle jest to kombinacja następujących typów danych, które tworzą cały nasz rejestr systemu Windows.

• Wartości łańcuchowe, takie jak Unicode, który^{(Unicode ​which)} jest standardem branży komputerowej dla spójnego kodowania, reprezentacji i obsługi tekstu wyrażonego w większości systemów pisma na świecie.
• Dane binarne
• Liczby całkowite bez znaku
• Dowiązania symboliczne
• Wartości wielociągowe
• Lista zasobów^(Resource) ( sprzęt Plug and Play )
• ^(Resource)Deskryptor zasobów (sprzęt Plug and Play )
• 64-bitowe liczby całkowite

Wniosek^(Conclusion)

Rejestr systemu Windows^{(Windows Registry)} był niczym innym, jak rewolucją, która nie tylko zminimalizowała ryzyko związane z używaniem plików tekstowych jako rozszerzenia pliku do zapisywania konfiguracji systemu i aplikacji, ale także zmniejszyła liczbę plików konfiguracyjnych lub .ini, które twórcy aplikacji musiał być dostarczony wraz z oprogramowaniem. Korzyści z posiadania scentralizowanego repozytorium do przechowywania często używanych danych zarówno przez system, jak i oprogramowanie działające w systemie są bardzo oczywiste.

Łatwość obsługi oraz dostęp do różnych dostosowań i ustawień w jednym centralnym miejscu sprawiły, że system Windows stał się preferowaną platformą dla aplikacji komputerowych przez różnych programistów. Jest to bardzo widoczne, jeśli porównasz samą liczbę dostępnych aplikacji komputerowych w systemie Windows z systemem MacOS firmy Apple. Podsumowując, omówiliśmy sposób działania Rejestru Windows^{(Windows Registry)} i jego strukturę plików oraz znaczenie różnych konfiguracji kluczy rejestru, a także pełne wykorzystanie edytora rejestru.

What is the Windows Registry & How it Works?

Wіndows Registry is a collection of сonfigurations, νalues, and рropertіes of windows applications as well as the windоws operating system which is organized and stored in a hierarchical manner in a singular repository.

Whenever a new program gets installed in the Windows system, an entry is made in the Windows Registry with its attributes such as size, version, location in the storage, etc.

Because, this information has been stored in the database, not only the operating system is aware of the resources utilized, other applications can also benefit from this information since they are aware of any conflicts that may arise if certain resources or files were to co-exist.

What is the Windows Registry & How it Works?

The Windows Registry is really the heart of the way Windows works. It is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to something as simple as renaming the file’s name.

Simply put, it is just a database similar to that of a library card catalog, where the entries in the registry are like a stack of cards stored in the card catalog. A registry key would be a card and a registry value would be the important information written on that card. The Windows operating system uses the registry to store a bunch of information that’s used to control and manage our system and software. This can be anything from PC hardware information to user preferences and file types. Almost any form of configuration that we do to a Windows system involves editing the registry.

History of Windows Registry

In the initial versions of Windows, application developers had to include in a separate .ini file extension along with the executable file. This .ini file contained all the settings, properties and configuration required for the given executable program to function properly. However, this proved very inefficient due to the redundancy of certain information and it also posed a security threat to the executable program. As a result, a new implementation of standardized, centralized as well as secure technology was an apparent necessity.

With the advent of Windows 3.1, a bare-bones version of this demand was met with a central database common to all the applications and system called the Windows Registry.

This tool, however, was very limited, since the applications could only store certain configuration information of an executable. Over the years, Windows 95 and Windows NT further developed on this foundation, introduced centralization as the core feature in the newer version of Windows Registry.

That said, storing information in Windows Registry is an option for software developers. So, if a software application developer were to create a portable application, he is not required to add information to the registry, local storage with the configuration, properties, and values can be created and successfully shipped.

The relevance of Windows Registry with respect to other operating systems

Windows is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to the renaming of a file name.

All other operating systems such as iOS, Mac OS, Android, and Linux continue to use text files as a way of configuring the operating system and modifying the operating system behavior.

In most of the Linux variants, the configuration files are saved in the .txt format, this becomes an issue when we have to work with the text files since all the .txt files are considered as critical system files. So if we try to open the text files in these operating systems, we wouldn’t be able to view it. These operating systems try to hide it as a security measure since all the system files such as configurations of the network card, firewall, operating system, graphical user interface, video cards interface, etc. are saved in the ASCII format.

To circumvent this issue both macOS, as well as iOS, deployed a completely different approach to the text file extension by implementing .plist extension, which contains all of the system as well as application configuration information but still the benefits of having a singular registry far outweigh the simple change of file extension.

What are the benefits of the Windows Registry?

Because Every part of the operating system continuously communicates with the Windows Registry, it must be stored in very fast storage. Hence, this database was designed for extremely fast reads and writes as well as efficient storage.

If we were to open and check the size of the registry database, it would typically hover between 15 – 20 megabytes which make it small enough to be always loaded into the RAM (Random Access Memory) that co-incidentally is the fastest storage available for the operating system.

Since the registry needs to be loaded in memory at all times, if the size of the registry is large it won’t leave enough room for all other applications to run smoothly or run at all. This would be detrimental to the performance of the operating system, hence the Windows Registry is designed with a core objective of being highly efficient.

If there are multiple users interacting with the same device and there are a number of applications that they use are common, the reinstallation of the same applications twice or multiple times would be a waste of rather expensive storage. Windows registry excels in these scenarios where the application configuration is shared among various users.

This not only reduces the total storage used but also gives its users access to make changes to the application’s configuration from one single interaction port. This also saves time since the user doesn’t have to manually go to every local storage .ini file.

Multi-User scenarios are very common in enterprise setups, here, there is a strong need for user privilege access. Since not all the information or resources can be shared with everyone, the need for privacy-based user access was easily implemented through the centralized windows registry. Here the network administrator reserves the right to withhold or allow based on the work undertaken. This made the singular database versatile as well made it robust since the updates can be undertaken simultaneously with remote access to all of the registries of multiple devices in the network.

How does Windows Registry Works?

Let’s explore the basics elements of the Windows Registry before we start getting our hands dirty.

The Windows Registry is made up of two basic elements called the Registry Key which is a container object or simply put they are like a folder that has various types of files stored in them and Registry Values which are non-container objects that are like files that could be of any format.

You should also know: How to Take Full Control or Ownership of Windows Registry Keys

How to access the Windows Registry?

We can access and configure the Windows Registry using a Registry Editor tool, Microsoft includes a free registry editing utility along with every version of its Windows Operating System.

This Registry Editor can be accessed by typing “Regedit” in the Command Prompt or by simply typing “Regedit” in the search or run box from the Start menu. This editor is the portal to access the Windows registry, and it helps us to explore and make changes to the registry. The registry is the umbrella term used by various database files located within the directory of the Windows installation.

Is it Safe to edit Registry Editor?

If you don’t know what you’re doing then it is dangerous to play around Registry configuration. Whenever you edit the Registry, make sure you follow the correct instructions and only change what you’re instructed to change.

If you knowingly or accidentally delete something in the Windows Registry then it could alter your system’s configuration which could either lead to Blue Screen of Death or Windows won’t boot.

So it is generally recommended to backup Windows Registry before making any changes to it. You can also create a system restore point (which automatically backup the Registry) that can be used if you ever need to alter the Registry settings back to normal. But if you only what you’re told then it shouldn’t be any problem. In case you need to know how to restore Windows Registry then this tutorial explains how to do so easily.

Let’s explore the structure of the Windows Registry

There is a user in an inaccessible storage location that exists for only the operating system’s access.

These Keys are loaded on to the RAM during the system boot stage and are constantly being communicated within a certain interval of time or when a certain system-level event or events take place.

A certain portion of these registry keys gets stored in the hard disk. These keys that are stored in the hard disk are called hives. This section of the registry contains registry keys, registry subkeys, and registry values. Depending on the level of the privilege a user has been granted, he would be to access certain parts of these keys.

The keys that are at the peak of the hierarchy in the registry that begins with HKEY are considered to be hives.

In the Editor, the hives are located on the left side of the screen when all the keys are viewed without expanding. These are the registry keys that appear as folders.

Let’s explore the structure of the windows registry key and its subkeys:

Example of a key name – “HKEY_LOCAL_MACHINE\SYSTEM\Input\Break\loc_0804”

Here the “loc_0804” refers to the subkey “Break” refers to the subkey “Input” which refers to the subkey “SYSTEM” of the HKEY_LOCAL_MACHINE root key.

Common Root Keys in Windows Registry

Each of the following keys is its own individual hive, which comprises more keys within the top-level key.

i. HKEY_CLASSES_ROOT

This is the registry hive of the Windows Registry which consists of file extension association information, programmatic identifier (ProgID), Interface ID (IID) data, and Class ID (CLSID).

This registry hive  HKEY_CLASSES_ROOT is the gateway for any action or event to take place in the Windows operating system. Suppose we want to access some mp3 files in the Downloads folder. The operating system runs its query through this to take the required actions.

The moment you access the HKEY_CLASSES_ROOT hive, it is really easy to get overwhelmed looking at such a massive list of extension files. However, these are the very registry keys that make windows function fluidly

Following are some of the examples of HKEY_CLASSES_ROOT hive registry keys,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Whenever we double-click and open a file lets say a photo, the system sends the query through the HKEY_CLASSES_ROOT where the instructions on what to do when such a file is requested are clearly given. So the system ends up opening a photo viewer displaying the requested image.

In the above example, the registry makes a call to the keys stored in the HKEY_CLASSES_ROOT\.jpg key. The HKEY_CLASSES_ROOT hive is a collective data found in both the HKEY_LOCAL_MACHINE hive (HKEY_LOCAL_MACHINE\Software\Classes) as well as the HKEY_CURRENT_USER hive (HKEY_CURRENT_USER\Software\Classes). So when the registry key exists in two locations it creates conflicts. So the data found in HKEY_CURRENT_USER\Software\Classes is used in HKEY_ CLASSES_ ROOT. It can be accessed by opening the HKEY_CLASSES key on the left side of the screen.

ii. HKEY_LOCAL_MACHINE

This is one of the several registry hives that stores all the settings that are specific to the local computer. This is a global key where the information stored cannot be edited by any user or program. Due to the global nature of this subkey, all the information stored in this storage is in the form of a virtual container running on the RAM continuously. The majority of the configuration information for the software users have installed and the Windows operating system itself is occupied in HKEY_LOCAL_MACHINE. All of the currently detected hardware is stored in the HKEY_LOCAL_MACHINE hive.

Also know how to: Fix Regedit.exe Crashes when searching through Registry

This registry key is further divided into 7 sub-keys:

1. SAM (Security Accounts Manager) – It is a registry key file that stores users’ passwords in a secured format (in LM hash and NTLM hash). A hash function is a form of encryption used to protect the users’ account information.

It is a locked file that is located in the system at C:\WINDOWS\system32\config, which cannot be moved or copied when the operating system is running.

Windows uses the Security Accounts Manager registry key file to authenticate users while they log into their Windows accounts. Whenever a user logs in, Windows uses a series of hash algorithms to calculate a hash for the password that has been entered. If the entered password’s hash is equal to the password hash inside the SAM registry file, users will be allowed to access their account. This also a file that most of the hackers target while performing an attack.

2. Security (not accessible except by administrator) – This registry key is local to the account of the administrative user who is logged in to the current system. If the system is managed by any organization the users cannot access this file unless administrative access has been explicitly given to a user. If we were to open this file without administrative privilege it would be blank. Now, if our system is connected to an administrative network, this key will default to the local system security profile established and actively managed by the organization. This key is linked to the SAM, so upon successful authentication, depending on the privilege level of the user, a variety of local and group policies are applied.

3. System (critical boot process and other kernel functions) –  This subkey contains important information related to the entire system such as computer name, currently mounted hardware devices, filesystem and what kind of automated actions can be taken in a certain event, say there is Blue screen of death due to CPU overheating, there is a logical procedure that the computer will automatically start taking in such an event. This file is only accessible by users with sufficient administrative privileges. When the system boots this is where all the logs get dynamically get saved and read upon. Various system parameters such as alternative configurations which are known as control sets.

4. Software All the Third-party software configurations such as plug and play drivers are stored here. This subkey contains software and Windows settings linked to the preexisting hardware profile that can be changed by various applications and system installers. Software developers get to limit or allow what information gets accessed by the users when their software is being used, this can be set using the “Policies” subkey that enforces the general usage policies on applications and system services that include the system certificates that is used to authenticate, authorize or disallow certain systems or services.

5. Hardware which is a subkey that is created dynamically during the system boot

6. Components system-wide device-specific component configuration information can be found here

7. BCD.dat (in the \boot folder in the system partition) which is a critical file that the system reads and starts executing during the system boot sequence by loading the registry to the RAM.

iii. HKEY_CURRENT_CONFIG

The main reason for the existence of this subkey is to store video as well as network settings. That could be all the information pertaining to the video card such as the resolution, refresh rate, aspect ratio, etc. as well as the network

It is also a registry hive, part of the Windows Registry, and which stores information about the hardware profile currently being used. HKEY_CURRENT_CONFIG is actually a pointer to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry key, This is simply a pointer to the currently active hardware profile listed under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles key.

So HKEY_ CURRENT_CONFIG helps us to view and modify the configuration of the current user’s hardware profile, which we can do as an administrator in any of the three locations as listed above since they are all the same.

iv. HKEY_CURRENT_USER

Part of the registry hives that contains store settings as well as configuration information for Windows and software that are specific to the currently logged-in user. For example, a variety of registry values in the registry keys are located in the HKEY_CURRENT_USER hive control user-level settings such as the keyboard layout, printers installed, desktop wallpaper, display settings, mapped network drives, and more.

Many of the settings you configure within various applets in the Control Panel are stored in the HKEY_CURRENT_USER registry hive. Because the HKEY_CURRENT_USER hive is user-specific, on the same computer, the keys and values contained in it will differ from user to user. This is unlike most other registry hives that are global, meaning they retain the same information across all users in Windows.

Clicking on the left side of the screen on the registry editor will give us access to HKEY_CURRENT_USER. As a security measure, the information stored on HKEY_CURRENT_USER is just a pointer to key positioned under the HKEY_USERS hive as our security identifier. Changes made to either of the areas will take effect immediately.

v. HKEY_USERS

This contains subkeys corresponding to the HKEY_CURRENT_USER keys for each user profile. This is also one of many registry hives that we have in the Windows Registry.

All the user-specific configuration data is logged here, for everyone who is actively using the device that kind information is stored under HKEY_USERS. All the user-specific information stored on the system that corresponds to a particular user is stored under the HKEY_USERS hive, we can uniquely identify the users utilizing the security identifier or the SID that logs all the configuration changes made by the user.

All of these active users whose account exist in the HKEY_USERS hive depending on the privilege granted by the system administrator would be able to access the shared resources such as printers, local network, local storage drives, desktop background, etc.  Their account has certain registry keys and corresponding registry values stored under the current user’s SID.

In terms of forensic information each SID stores a huge amount of data on every user as it makes a log of every event and action get undertaken under the user’s account. This includes the User’s Name, the number of times the user logged onto the computer, the date and time of the last login, the date and time the last password was changed, number of failed logins, and so on. Additionally, it also contains the registry information for when Windows loads and sits at the login prompt.

Recommended: Fix The Registry editor has stopped working

The registry keys for the default user are stored in the file ntuser.dat within the profile, that we would have to load this as a hive using regedit to add settings for the default user.

Types of data we can expect to find in the Windows Registry

All of the above-discussed keys and subkeys will have the configurations, values, and properties saved in any of the following data types, usually, it is a combination of the following data types that makes up our entire windows registry.

• String values such as Unicode ​which is a computing industry standard for the consistent encoding, representation, and handling of text expressed in most of the world’s writing systems.
• Binary data
• Unsigned integers
• Symbolic links
• Multi-string values
• Resource list (Plug and Play hardware)
• Resource descriptor (Plug and Play hardware)
• 64-bit integers

Conclusion

Windows Registry has been nothing less of a revolution, which not only minimized the security risk that came by using text files as a file extension to save the system and application configuration but it also reduced the number of configuration or .ini files that the application developers had to ship with their software product. The benefits of having a centralized repository to store frequently accessed data by both the system as well as the software that runs on the system are very evident.

The ease of use as well as the access to various customizations and settings in one central place has also made windows the preferred platform for desktop applications by various software developers. This is very evident if you compare the sheer volume of available desktop software applications of windows to Apple’s macOS. To summarize, we discussed how the Windows Registry works and its file structure and the significance of various registry key configurations as well as to use the registry editor to the complete effect.

Related posts

• Regbak umożliwia łatwe tworzenie kopii zapasowych i przywracanie rejestru systemu Windows

• Registry Live Watch będzie śledzić zmiany w Rejestrze Windows na żywo

• Darmowy defragmentator rejestru do defragmentacji rejestru systemu Windows

• Zapobiegaj odinstalowaniu rozszerzeń Chrome za pomocą Rejestru systemu Windows

• 3 sposoby wyłączenia rejestru systemu Windows -

• Jak naprawić lub naprawić uszkodzony rejestr w systemie Windows 11/10?

• Jak przywrócić Rejestr za pomocą Wiersza Poleceń w Windows 11/10?

• Co to jest rejestr systemu Windows (i co można z nim zrobić)?

• Jak przeglądać i edytować Rejestr z Eksploratora w systemie Windows

• Jak wyłączyć powiadomienia aplikacji za pomocą Edytora rejestru w systemie Windows 11/10?

• Wyłącz pionowe zakładki w Microsoft Edge za pomocą Rejestru w Windows 10

• Wyłącz przechwytywanie stron internetowych w Microsoft Edge za pomocą rejestru w systemie Windows 10

• Lista ścieżek startowych, folderów i ustawień rejestru w systemie Windows 11/10

• Wyłącz optymalizację dostarczania za pomocą zasad grupy lub Edytora rejestru

• Proste pytania: Co to jest rejestr systemu Windows i do czego służy?

• Jak zmienić czas ClickLock myszy za pomocą Edytora rejestru w systemie Windows

• Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows 11/10

• Aplikacje ze Sklepu Windows nie uruchamiają się? Sprawdź uprawnienia rejestru i plików

• Włącz, wyłącz autokorektę i zaznacz błędnie napisane słowa w systemie Windows

• Jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows