Rejestr - poznaj swojego wroga!

SAM to skrót od Security Account Manager. W kluczu tym Windows XP przechowuje informacje o utworzonych w systemie kontach użytkowników i grup. Jeśli będziesz chciał podejrzeć zawartość klucza SAM, otrzymasz komunikat o braku dostępu. Ponieważ SAM zawiera krytyczne informacje, dostępu do niego nie mają nawet członkowie grupy Administratorzy. Jeśli będziesz chciał koniecznie zobaczyć, co ukrywa klucz SAM, możesz zmienić uprawnienia, korzystając z opcji Uprawnienia w menu Edycja. Klucz SECURITY, tak jak SAM, przechowuje zaszyfrowane informacje związane z zabezpieczeniami komputera - o prawach, lokalnych zasadach haseł oraz o członkostwie grup lokalnych. Jeśli chcesz zobaczyć zawartość klucza SECURITY, także musisz zmienić uprawnienia domyślne. Do modyfikacji zawartości kluczy SAM i SECURITY trzeba stosować odpowiednie narzędzia, takie jak Zasady zabezpieczeń lokalnych czy moduł Zarządzanie komputerem. Ręczna ingerencja w zawartość bazy kont i zabezpieczeń jest zabroniona i najczęściej przyniesie więcej szkody niż pożytku.

Zgodnie z nazwą, klucz SOFTWARE służy do gromadzenia informacji o oprogramowaniu zainstalowanym w Windows XP. Dane programów powinny być przechowywane zgodnie ze standardem PRODUCENT\PROGRAM\WERSJA. Jeśli masz aplikację do odczytywania plików PDF (Acrobat Reader), możesz zobaczyć, że korzysta ona dokładnie z takiego sposobu porządkowania danych. Ważnym podkluczem gałęzi SOFTWARE jest Classes. Odnajdziesz w nim dane dotyczące powiązań rozszerzeń plików z aplikacjami (np. pliki DOC Worda ) oraz rejestracji klas obiektów COM (Component Object Model).

Okno rejestru z wartościami typu REG_EXPAND_SZ.Ostatnim z podkluczy HKEY_LOCAL_MACHINE jest SYSTEM. Windows XP przechowuje w nim informacje o zestawach kontrolnych. Są oznaczane przez ControlSet NUMER. Każdy zestaw kontrolny zawiera parametry startowe systemu operacyjnego, ale tylko jeden z nich jest wykorzystywany podczas uruchamiania Windows. O numerze bieżącego zestawu kontrolnego poinformuje cię zawartość klucza Select. Aktualny zestaw będzie oznaczony takim numerem, jaki znajduje się przy wpisie Current. Po naciśnięciu klawisza [F8] w czasie uruchamiania systemu, możesz określić opcje startowe Windows. Jedną z nich jest tzw. Ostatnia znana dobra konfiguracja, czyli zestaw rozruchowy zapisany w momencie ostatniego poprawnego logowania do XP. W kluczu Select rozpoznasz jego numer po wpisie LastKnownGood. Ostatniej dobrej konfiguracji możesz użyć wtedy, gdy zawiedzie rozruch z wykorzystaniem zestawu domyślnego.

HKEY_USERS

HKEY_USERS gromadzi dane obejmujące ustawienia środowiska użytkowników. Dotyczą one spersonalizowanych parametrów systemu operacyjnego, takich jak: konfiguracja pulpitu, ekranu lub aplikacji. Oprócz informacji związanych z profilem aktualnie zalogowanego użytkownika HKEY_USERS zawiera parametry usługowych kont systemowych np. System lokalny, Usługa lokalna i Usługa sieciowa. Konta systemowe i użytkowników są reprezentowane przez opisywane już Identyfikatory zabezpieczeń (SID). Podklucz .DEFAULT służy do określania ustawień obowiązujących wtedy, kiedy nikt nie jest zalogowany do systemu. Można to łatwo sprawdzić, podłączając się do rejestru przez sieć.

Najpopularniejsze typy wartości spotykane w rejestrze Windows XPJeżeli w kluczu HKEY_USERS odnajdziesz dwa identyfikatory zabezpieczeń, będzie to oznaczać, że jedno z okien zostało otwarte z użyciem usługi Logowanie pomocnicze. Podczas codziennej pracy nie powinieneś korzystać z konta należącego do lokalnej grupy Administratorzy. Stwarza to potencjalne ryzyko niejawnego uruchamiania skryptów modyfikujących ważne ustawienia systemu operacyjnego. Do logowania pomocniczego sięgaj wtedy, gdy zamierzasz wykonać zadania związane z administracją systemu. W celu uruchomienia programu na wyższym poziomie uprawnień musisz kliknąć ikonę aplikacji prawym przyciskiem myszy, a następnie wybrać Uruchom jako. Po wprowadzeniu nazwy konta i hasła Windows uruchomi aplikację z alternatywnymi poświadczeniami.

Parametry użytkownika są podzielone na dwie grupy. Pierwszą reprezentuje SID konta, drugą - SID plus przyrostek _Classes. Pod kluczem reprezentowanym przez identyfikator zabezpieczeń ukryte są parametry profilu użytkownika. W czasie przeglądania podkluczy SID znajdziesz między innymi ustawienia Panelu sterowania, konsoli oraz właściwe dla konta zmienne środowiskowe. Klucz z zakończeniem Classes zawiera rejestracje klas i powiązania rozszerzeń plików indywidualnych zalogowanego użytkownika.

Wpisy do rejestru

Administrator komputera może edytować oraz dodawać do rejestru nowe wpisy. Każdy musi mieć nazwę, typ danych oraz wartość. Typ danych określa rodzaj przechowywanych informacji. Rejestr może przechowywać informacje w niemal dwudziestu formatach. W czasie przeglądania bazy konfiguracyjnej systemu może się to wydawać nieco zaskakujące, gdyż zdecydowana większość wpisów opiera się na pięciu typach: REG_DWORD, REG_BINARY, REG_EXPAND_SZ, REG_SZ i REG_MULTI_SZ.

Dodawanie wartości DWORD.Pięć głównych typów wpisów pozwala na przechowywanie najpotrzebniejszych ustawień Windows XP. REG_BINARY jest wykorzystywany do gromadzenia danych binarnych. Są one wyświetlane i wprowadzane do rejestru w formacie szesnastkowym. REG_DWORD służy do przechowywania danych numerycznych. Jego nazwa - DWORD - jest skrótem określenia "double word", co oznacza, że w tym formacie możemy przechowywać cztery bajtowe liczby. Z typem REG_DWORD spotkasz się najczęściej przy okazji wpisów oznaczających prawdę lub fałsz, tak lub nie oraz włączenie albo wyłączenie wybranej opcji. Dodając nową wartość DWORD, możesz się posłużyć formatem szesnastkowym lub dziesiętnym. Kolejne trzy typy danych są przeznaczone do przechowywania ciągów znaków. Najbardziej popularny REG_SZ pozwala na wpisywanie pojedynczego ciągu, np. 'PC WORLD KOMPUTER'. Jego kuzyni: REG_MULTI_SZ i REG_EXPAND_SZ różnią się tym, że pierwszy pozwala na wprowadzanie wielu wierszy ciągów (list), a drugi może zawierać zmienne dynamicznie zastępowane rzeczywistymi wartościami przez sięgające do rejestru aplikacje. Przykładowo wpis %USERPROFILE% jest zastępowany przez ścieżkę do profilu tego użytkownika, który aktualnie pracuje z systemem.

Pliki rejestru umieszczone w folderze \System32\Config.Jeśli korzystasz z edytora Regedit, dodawanie wpisu rozpoczyna się od wskazania typu danych. Po odnalezieniu klucza, w którym chcesz dodać nową wartość, należy kliknąć menu Edycja. Następnie wskaż Nowy i wybierz rodzaj wartości. Regedit wyświetli bardziej zrozumiałe nazwy typów. Możesz wybrać jedną z opcji: Wartość ciągu (REG_SZ), Wartość binarna (REG_BINARY), Wartość DWORD (REG_DWORD), Wartość wielociągu (REG_MULTI_SZ) i Wartość ciągu rozwijalnego (REG_EXPAND_SZ). Po kliknięciu odpowiedniej opcji system dodaje wpis i czeka na wprowadzenie nazwy wartości. Gdy wpiszesz nazwę, musisz ponownie sięgnąć do menu Edycja i wybrać Modyfikuj. Lepszym rozwiązaniem jest naciśnięcie klawisza [Enter] po zaznaczeniu wartości. Edytor wyświetli wówczas okno do wprowadzania danych. Jeśli określiłeś typ danych jako REG_SZ, trzeba wpisać wymagany ciąg znaków. Przy wartościach DWORD możesz wybrać dziesiętny lub szesnastkowy sposób zapisu. Dla REG_BINARY dane musisz wpisywać szesnastkowo. Chcąc usunąć wartości i klucze bazy konfiguracji systemu, wybierz menu Edycja | Usuń lub naciśnij klawisz [Delete].

Gdzie ten rejestr?

Nazwa "rejestr" sugeruje, że baza konfiguracyjna Windows to jeden plik. Niestety, tak nie jest. Rejestr obejmuje nie tylko ustawienia komputera, ale również informacje o środowisku pracy każdego użytkownika systemu. Jest to jednym z powodów przechowywania bazy ustawień Windows w grupie plików. Nie zapomnij o tym, że część rejestru jest budowana dynamicznie podczas każdego uruchamiania komputera.

Lista plików rejestru zawierająca ustawienia systemuPodział na ustawienia użytkowników oraz systemu w sposób naturalny dzieli miejsce przechowywania plików rejestru na dwie lokalizacje. Część związana z ogólną konfiguracją komputera umieszczona jest w folderze %systemroot%\system32\config, co dla zainstalowanych w sposób domyślny systemów operacyjnych oznacza C:\WINDOWS\system32\config. Jeśli wyświetlisz zawartość tego folderu, możesz być nieco zaskoczony - powinien się tam znajdować jeden plik, a nie ponad dwadzieścia. Pełną zawartość folderu \System32\Config, zobaczysz dopiero po zmianie domyślnych ustawień Eksploratora Windows. W tym celu musisz uruchomić Eksplorator, przejść do menu Narzędzia i wyświetlić Opcje folderów. Następnie przejdź do karty Widok i odznacz Ukryj chronione pliki systemu operacyjnego, dodatkowo należy przenieść zaznaczenie opcji Nie pokazuj ukrytych plików i folderów, na Pokazuj ukryte pliki i foldery. Odznacz również opcję Ukryj rozszerzenia dla plików znanych typów.

Takie pliki, jak AppEvent.evt, SecEvent.evt i SysEvent.evt, to dzienniki programu Podgląd zdarzeń i z punktu widzenia rejestru nie są dla nas interesujące. O wiele ważniejsze są takie pliki, jak System, SAM, software, SECURITY itp. Listę plików i ich przeznaczenie zawiera tabela powyżej.