Способ работы с реестром

Практические приёмы работы с Реестром¶

В данном разделе рассматриваются практические примеры работы с реестром:

Лицензия КриптоПро в реестре [1017]¶

Лицензия КриптоПро хранится в реестре, её можно оттуда скопировать, либо ввести.

КриптоПро 3.6:

КриптоПро 3.9:

КриптоПро 4.0:

КриптоПро 3.0:

1. Открыть двойным нажатием левой кнопки мыши параметр ProductID и прописать в поле Значение серийный номер лицензии (можно с дефисами, можно без). Либо скопировать номер лицензии оттуда.

Где хранятся ключи(закрытый ключ сертификата) в реестре? [1739]¶

Реестр может использоваться в качестве ключевого носителя, другими словами, в него можно скопировать Квалифицированную электронную подпись (КЭП). После копирования закрытые ключи будут находиться:

• В некоторых случаях сертификат попадает сюда:

Где SID (идентификатор пользователя) (англ. Security Identifier (SID)) — структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера.

Узнать SID пользователя можно через командную строку («Пуск → Выполнить → cmd»), введя команду WHOAMI /USER .

Рис. 23 – Узнать SID пользователя через командную строку

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Восстановление закрытых ключей с неисправного компьютера¶

Обязательно ознакомьтесь с главой Работа с Редактором реестра и разделами:

Есть возможность восстановить закрытые ключи сертификата, если они были записаны в реестре компьютера и этот компьютер сломался.

Это можно сделать только в том случае, если жесткий диск в рабочем состоянии и есть возможность его подключить к рабочему системному блоку. Или есть копия папки C:\Windows\System32\config\ .

Если условия выполняются, необходимо проделать следующее:

1. Подключить жесткий диск от неработающего компьютера к рабочему системному блоку;

1. Скачать утилиту PsExec.exe и скопировать ее в корень диска C .

Открыть редактор реестра с помощью утилиты PsExec.exe (см. раздел Работа через утилиту PsExec ). В командной строке («Пуск → Выполнить → cmd») ввести команду;

Загрузить куст HKEY_LOCAL_MACHINE\Software (см. раздел Загрузка и выгрузка куста ):

• Перейти в раздел HKEY_LOCAL_MACHINE ;
• Выбрать «Файл → Загрузить куст»;
• В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера C:\Windows\System32\config\SOFTWARE ;
• Задать произвольное имя загруженному кусту, например, AZAZAZ .

1. Перейти в раздел, в котором хранятся КЭП ;

В некоторых случаях сертификат попадает сюда:

1. После того, как найден нужный раздел с ключами:

• Нажать на подраздел keys правой кнопкой мыши и выбрать пункт «Экспортировать» (см. раздел Создание резервной копии реестра (Экспорт) ).
• Выбрать место для сохранения и задать имя файла. Экспортированный файл будет иметь расширение .reg .
• Если требуется, перенести экспортированный файл с расширением .reg на другой компьютер.

1. Открыть экспортированный файл с расширением .reg в текстовом редакторе (Notepad++, Блокнот) и изменить в файле идентификатор пользователя (SID) на идентификатор текущего пользователя, для этого:

Рис. 24 – Изменение пути к веткам реестра

• В командной строке («Пуск → Выполнить → cmd») ввести команду WHOAMI /USER (см. рисунок Рис. 23 – Узнать SID пользователя через командную строку ).

Чтобы скопировать текст из командной строки Windows, необходимо нажать правой кнопкой мыши на заголовок окна консоли и в меню «Свойства» на вкладке «Общие» включить опцию «Выделение мышью».

Если разрядность(битность) текущей системы отличается от той, на которой находился контейнер закрытого ключа, то необходимо проверить и при необходимости исправить путь в текстовом редакторе.

1. Сохранить изменения в файле и открыть его двойным щелчком мыши (см. раздел Восстановление реестра из резервной копии (Импорт) ). Разрешить внести изменения в реестр.

Перед тем, как вносить изменения в реестр, обязательно создавайте его резервную копию. Подробнее в разделе Создание резервной копии реестра (Экспорт) .

1. В конце рекомендуется выгрузить ранее загруженный куст «Файл → Выгрузить куст».

Можно запускать реестр и не используя утилиту PsExec.exe , но тогда придется добавлять загруженным веткам права и разрешения вручную так, как описано в разделе Права доступа (Разрешения) . Это не критично, если речь идет, например, о копировании всего одного контейнера закрытого ключа. Если файлов много, то гораздо быстрее и удобнее использовать PsExec.exe .

Рекомендую всегда держать на готове утилиту PsExec.exe , ее скачивание и копирование занимает не так много времени.

Извлечение информации из резервной копии реестра¶

Резервные копии реестра обычно создаются автоматически каждые десять дней. Сохраняются они в папке:

• C:\Windows\System32\config\RegBack – для Windows 7 и Server 2008;
• C:\Windows\repair – для XP и Server 2003.

Данные папки содержит те же файлы, что и C:\Windows\System32\config\ .

Если, например, из реестра случайно был удален контейнер закрытого ключа, теоретически, есть возможность импортировать куст из резервной копии.

Порядок действия аналогичен, описанному порядку в инструкции Восстановление закрытых ключей с неисправного компьютера . Отличается только файл загружаемого куста C:\Windows\System32\config\RegBack\Software .

Доступ к считываетлям (Calais)¶

Иногда возникает проблема с доступом к считывателям смарт-карт. Она может быть связана с тем, что у текущего пользователя недостаточно прав на следующие ветки:

Подробнее о настройке прав доступа читайте в разделе Права доступа (Разрешения) .

Может возникнуть ситуация, когда текущий пользователь системы даже не будет являться владельцем данных веток реестра, следовательно, у него не будет прав на них. В таком случае, необходимо сначала добавить текущего пользователя во владельцы этих веток, а затем проставить ему соответствующие права, как описано в разделе Права доступа (Разрешения) данного руководства.

Доверенные узлы¶

Если узел не добавляется в надежные узлы, можно добавить его вручную через реестр, для этого необходимо:

1. Перейти в ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains ;
2. Добавить подраздел с названием домена, например, kontur.ru ;
3. В добавленном подразделе создать еще один подраздел с названием субдомена: extern ;
4. Добавить параметр DWORD https со значением 2

Рис. 25 – Добавление зон надежных узлов вручную

Источник

Работа с Редактором реестра¶

Редактор реестра – инструмент, предназначенный для просмотра и изменения параметров в системном реестре, в котором содержатся сведения о работе компьютера.

Способы открытия редактора реестра описаны в разделе Открытие реестра данного руководства.

Создание резервной копии реестра (Экспорт)¶

Прежде чем вносить изменения в реестр, рекомендуется выполнить экспорт и создать его резервную копию. Можно сделать резервную копию как всего реестра в целом, так и отдельных разделов и подразделов. Позже эту резервную копию можно импортировать, чтобы отменить внесенные изменения.

Перед внесением каких-либо изменений в реестр всегда создавайте его резервную копию!

Чтобы создать полную копию реестра необходимо:

1. Запустить редактор реестра, как это описано выше;
2. Оставаясь в корне реестра открыть меню «Файл» и выбрать пункт «Экспорт…»;
3. Выбрать место, где будет сохранена резервная копия, и указать «Имя файла»;
4. Нажать на кнопку «Сохранить».

Чтобы сэкономить место, можно сделать резервную копию отдельного раздела или подраздела. Для этого необходимо нажать правой кнопкой мыши на раздел (подраздел) и в выпадающем меню выбрать пункт «Экспорт…». Также можно просто перейти в нужный раздел (подраздел) и выбрать меню «Файл → Экспорт…».

Рис. 5 – Экспорт веток реестра. Создание резервной копии.

Экспортированный файл будет иметь расширение .reg .

Экспортированные из реестра файлы с расширением .reg являются простыми текстовыми файлами, их можно открыть любым простым текстовым редактором (Notepad++, Блокнот).

Восстановление реестра из резервной копии (Импорт)¶

Чтобы импортировать сохраненный файл реестра, достаточно дважды нажать левой кнопкой мыши по файлу с расширением .reg .

1. Открыть редактор реестра;
2. В меню «Файл» выбрать пункт «Импортировать файл реестра»;
3. В меню открытия файлов найти файл, который следует импортировать, выделить его и нажать кнопку «Открыть».

Операции экспорта и импорта используются не только для создания резервных копий. Практическое использование данных функций рассмотрено в главе Практические приёмы работы с Реестром данного руководства.

Поиск в реестре¶

Для быстрого доступа к параметром можно воспользоваться функцией поиска по реестру, которая находится в меню «Правка → Найти» ( Ctrl+F ).

Для перемещения между найденными значениями используется «Правка → Найти далее» ( F3 ).

Загрузка и выгрузка куста¶

Допустим, имеется жесткий диск с нерабочего компьютера. Чтобы получить доступ к определенным веткам реестра, который хранится на этом жестком диске, необходимо:

1. Подключить жесткий диск к рабочему компьютеру;
2. Открыть реестр на рабочем компьютере;
3. Выбрать необходимую ветку реестра;

Рис. 6 – Выбор ветки

1. Перейти в меню «Файл → Загрузить куст»;

Рис. 7 – Выбор ветки

1. В файловом менеджере выбрать соответствующий файл куста с нерабочего компьютера;

Рис. 8 – Выбор ветки

1. Задать произвольное имя загруженному кусту.

Рис. 9 – Присвоение произвольного имени разделу

В соответсвии с примером, в ветку HKEY_LOCAL_MACHINE работающего компьютера была загружена ветка HKEY_LOCAL_MACHINE\Software с неработающего компьютера.

Для загрузки других веток реестра, необходимо выбирать соответствующие файлы на жестком диске. Таблица соответсвия веток реестра и файлов на жестком диске приведена в главе Файлы реестра на жестком диске данного руководства.

Также допустимо скопировать папку C:\Windows\System32\config\ на обыкновенную флешку и загружать требуемые кусты с нее.

При работе с загруженными кустами есть нюанс, который заключается в разрешениях (правах) на доступ к тем или иным разделам. Подробнее о разрешениях написано в разделе Права доступа (Разрешения) данной главы.

Более простой способо обойти подводные камни с разрешениями на ветки заключается в использовании утилиты psexec.exe , работа с которой описана в разделе Работа через утилиту PsExec .

После завершения работы с загруженными кустами, их желательно выгрузить. Для этого необходимо перейти в «Файл → Выгрузить куст».

Права доступа (Разрешения)¶

Все разделы реестра имеют права доступа или разрешения. Если у текущего пользователя нет прав на определенный раздел, то будет выведено сообщение об ошибке и запрете доступа к данному разделу.

Прав доступа может не быть по нескольким причинам:

1. У текущего пользователя, залогиненного в системе, нет прав администратора;
2. Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
3. Владельцем раздела является системная служба TrustedInstaller.
4. Владельцем раздела является системная учетная запись «Система».

В первом случае необходимо обращаться к системному администратору, чтобы он предоставил доступ к учетной записи администратора или дал администраторские права пользователю.

Во втором случае необходимо присвоить полные права и сменить владельца.

Получение полных прав и смена владельца¶

1. Нажать правой кнопкой мыши на раздел и выбрать пункт «Разрешения»;

Рис. 10 – Вызов диалога работы с разрешениями

1. Выделить текущего пользователя:

• Если доступен флажок «Полный доступ», установить его и нажать кнопку «ОК. Этого может оказаться достаточно, если группа является владельцем раздела.

Рис. 11 – Открытие Полного доступа гурппам и пользователям

Если отсутствует необходимый пользователь, флажок «Полный доступ» недоступен или возникает сообщение об ошибке, переходите к пункту 3.

1. В меню разрешений нажать кнопку «Дополнительно»;

Рис. 12 – Добавление или смена владельца

Во время добавления разрешений и владельцев могут возникать сообщения об отсутсвии прав доступа. Данные сообщения можно смело игнорировать.

Перейти на вкладку «Владелец» и добавить текущего пользователя;

Рис. 13 – Выбор владельца

На вкладке «Разрешения» нажать кнопку «Добавить»;

Рис. 14 – Добавление разрешений владельцу

В поле «Введите имена выбираемых объектов» ввести имя текущей учетной записи и нажать кнопку «Проверить имена», затем нажать «ОК»;

Рис. 15 – Ввод имени выбираемых объектов

Рис. 16 – Проверка имен

Появится диалог разрешений. Поставить галочку напротив «Полный доступ» и нажать «ОК»;

Рис. 17 – Установка полного доступа текущему владельцу

После добавления владельца и назначения прав нажать клавишу F5 или «Вид → Обновить». Напротив непустого раздела появится треугольник, который означает, что у текущего пользователя есть права на доступ в него.

Рис. 18 – Доступ к подразделам

На рисунке 18 видно, что у текущего пользователя есть доступ к подразделу Keys , но нет прав на открытие разделов KeyDevices и Random . Треугольника напротив подраздела может не быть, если данный подраздел пуст.

В Windows 8 и выше порядок работы с диалогом смены и добавления владельца немного отличается – владелец выбирается сверху.

Рис. 19 – Выбор/смена владельца в Windows 8 и выше [11]

Ручное добавление владельцев и прав доступа удобно, если нужно получить доступ всего к нескольким разделам. Если нужно получить доступ к большому количеству разделов, то гораздо целесообразнее воспользоваться утилитой PsExec.exe . Работа с данной утилитой рассматривается в разделе Работа через утилиту PsExec .

Работа через утилиту PsExec¶

Для запуска редактора реестра с полными правами от имени системы можно воспользоваться программой PsExec.exe.

1. Скачайте утилиту PsExec.exe и скопируйте в корень диска C .
2. Запустите командную строку от имени администратора. «Пуск → Выполнить → cmd».
3. Введите в командную строку команду:

Запустится редактор реестра от имени системы, что задается параметром -s (параметр -i обеспечивает интерактивный запуск приложения)[11].

Если возникает сообщение об ошибке Couldn’t install PSEXESVC service. , то необходимо отключить контроль учетных записей Windows (UAC):

1. Меню «Пуск → Панель управления»;
2. «Учетные записи пользователей → Изменение параметров контроля учетных записей»;
3. Сдвинуть ползунок до самого низа — «Никогда не уведомлять»;
4. Перезагрузить компьютер.

Рис. 20 – Отключение параметров контроля учетных записей (UAC)

В Windows Vista в диалоговом окне «Пуск → Панель управления → Учетные записи пользователей → Включение и отключение контроля учетных записей» снять галочку «Используйте контроль учетных записей для защиты компьютера».

В Windows 8 и выше для полного отключения контроля учетных записей (UAC) необходимо в реестре в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System присвоить параметру EnableLUA значение 0 .

Рис. 21 – Отключение параметров контроля учетных записей (UAC) в Windows 8 и выше

После отключения параметров контроля учетных записей (UAC) необходима перезагрузка.

Добавление и удаление элементов¶

Для создания разделов, подразделов и параметров, необходимо перейти в меню «Правка → Создать» и выбрать необходимый тип создаваемого элемента. Либо нажать правой кнопкой мыши и в появившемся меню выбрать пункт «Создать».

Рис. 22 – Создание разделов, подразделов и параметров

Более подробную информацию о типах параметров смотрите в статье Сведения о реестре Windows для опытных пользователей.

© Copyright 2015, Dmitry Mazhartsev. Revision 6bfe9488 .

Источник