El registro de Windows

El registro de Windows

El registro es una base de datos

binaria que organiza jerrquicamente todos los parmetros de configuracin del sistema, teniendo informacin sobre:
El equipo

Su hardware Los perifricos conectados El software instalado Los usuarios que se conectan al sistema

Los componentes del sistema, las aplicaciones instaladas, los controladores de dispositivos e incluso el ncleo del SO usan el registro para: Almacenar datos relativos a su configuracin Obtener informacin sobre La configuracin hardware del sistema Las preferencias del usuario conectado en un momento concreto Las configuraciones predeterminadas establecidas etc.

El registro es una BD de todo el sistema: Contiene informacin sobre las configuraciones HW y SW, para la inicializacin de los distintos componentes Tiene informacin sobre los dispositivos conectados Cualquier cambio en el sistema se guarda en el registro Microsoft aconseja no tocarlo, un error en la modificacin puede producir problemas de funcionamiento: En W2008, normalmente, no es necesario editarlo a mano para hacer modificaciones Los cambios en el registro se realizarn mediante

De dnde procede la informacin del registro?

El reconocedor hardware de Windows, que se ejecuta en el proceso de arranque almacena datos de la configuracin actual del hardware El ncleo del SO que por un lado obtiene datos y por otro modifica informacin guardada en el registro Los drivers de los dispositivos, toman datos del registro (parmetros de carga y configuracin) y guardan datos en l sobre su configuracin y sobre el uso de los recursos (esto ltimo no lo hacen todos) Los programas de configuracin del sistema y las herramientas administrativas almacenan datos sobre la configuracin del sistema Las aplicaciones instaladas guardarn informacin sobre Configuracin.

Cundo se usa el registro? En la instalacin, configuracin o desinstalacin del sistema operativo o de sus componentes (por ejemplo, los servicios) Para cargar los drivers necesarios relacionados con los dispositivos conectados al equipo Los drivers los usan para obtener informacin de configuracin Las herramientas del sistema y las aplicaciones del Panel de control para conocer detalles de configuracin y su modo de funcionamiento

Estructura del registro

Estructura jerrquica arborescente:

Sub-rbol: principal categora de almacenamiento en el registro (Hay 5 subrboles principales. Son como una carpeta raz de un disco duro) Claves: son los principales contenedores debajo de un Sub-rbol. Contienen informacin concreta sobre configuraciones hardware o software (Cada subrbol tiene una serie de claves. Son parecidas a las carpetas) Sub-claves: se encuentran dentro de una clave y permiten definir mejor una clave (Una clave se divide en Sub-claves. Son como subcarpetas) Entrada: informacin sobre la clave o sub-clave, compuesta de nombre, tipo de dato y valor. (Son como los atributos de una clave. Aparecen en la parte derecha del

 Secciones y archivos de seccin:

Fsicamente el registro se divide en un conjunto de ficheros que se denominan secciones Una seccin es una porcin del registro, una coleccin de claves, sub-claves y valores que se guardan en un fichero Estos ficheros de seccin slo pueden ser editados con el editor de registro pero pueden ser copiados, realizando as una copia de seguridad de los mismos Los ficheros de seccin son .dat, y cada uno tiene su correspondiente fichero .log que acta como registro de transaccin para el fichero .dat HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr ol\

Sub-rboles
HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE que tiene como claves

principales: Hardware Sam Security Software System Components BCD00000000 HKEY_USERS HKEY_CURRENT_CONFIG

 HKEY_CLASSES_ROOT Contiene informacin de configuracin bsica del

sistema, sobre los objetos que estn instalados La asociacin de ficheros: identifica para cada posible extensin de fichero el tipo de fichero que representa. Tienen informacin que el sistema usa cuando trabaja con ellos (cmo crear un fichero nuevo de ese tipo) pudiendo asociar un fichero con varios programas
La entrada predeterminado guarda el nombre del identificador correspondiente para los ficheros con esta extensin Identificadores de objetos y programas instalados: almacenan el identificador de la clase, el icono correspondiente, e informacin acerca de las distintas operaciones que se pueden realizar sobre ese tipo de objeto y cmo realizarlas (abrir, crear uno nuevo, imprimir, )

HKEY_CURRENT_USER Datos del perfil del usuario actual que tiene iniciada la sesin en el sistema Este subrbol forma parte de HKEY_USER, ya que es un puntero al subrbol HKEY_USER\<identificador de seguridad del usuario> (que guarda el perfil del usuario) Al conectarse un usuario, la informacin de su cuenta se recupera para cargar su perfil y configuracin Prevalece sobre la informacin guardada en el subrbol HKEY_LOCAL_MACHINE. Para que los usuarios puedan guardar su informacin y establecer la configuracin que deseen Contiene informacin sobre la vinculacin de sonidos a aplicaciones, configuracin del panel de control, variables de entorno del

 HKEY_USERS Contiene una entrada para cada usuario, que haya iniciado una sesin en el sistema previamente, con los datos de su perfil. Cada entrada tiene como nombre el identificador de seguridad del usuario, sus datos de perfil. Se incluye el perfil predeterminado (DEFAULT), que se copiar cuando un usuario entre por primera vez al sistema. Contiene la informacin de HKEY_CURRENT_USER del usuario actual HKEY_CURRENT_CONFIG Contiene informacin acerca del perfil hardware usado en el inicio Es un puntero a HKEY_LOCAL_MACHINE\System\CurrentControlSet\H ardware Profiles\Current

 HKEY_LOCAL_MACHINE Datos de configuracin del sistema, del S.O., dispositivos HW y controladores, datos de inicio y de configuracin y de aplicaciones instaladas. Guarda todos los parmetros pertenecientes a la mquina local Parte se reconstruye en cada arranque (configuracin HW actual) Tiene 5 claves primarias, cada una con sus subclaves: HARDWARE: HW instalado en el equipo, es voltil y se genera en cada arranque. El sistema y los controladores de dispositivo guardan y comparten la informacin de los dispositivos HW encontrados en el inicio o conectados con posterioridad SAM (Security Accounts Manager): informacin de las cuentas de grupo y de los usuarios locales del sistema. Ninguna aplicacin puede modificar sus claves, slo se

HKEY_LOCAL_MACHINE (contina) Tiene 5 claves primarias : SECURITY: BD empleada por el subsistema de seguridad, contiene la poltica de seguridad y de autenticidad de usuario SOFTWARE: configuraciones generales de las aplicaciones y componentes del sistema, tambin mantiene valores de configuracin del equipo COMPONENTS: muestra el conjunto de datos que permiten que funcionen las aplicaciones y componentes .NET. Tambin relacionado con la actualizacin de SO y las

HKEY_LOCAL_MACHINE (continuar) Tiene 5 claves primarias : SYSTEM: informacin relativa a los dispositivos y servicios necesarios para una configuracin de arranque concreta, incluyendo las no satisfactorias y la ltima buena conocida Claves del tipo ControlSetXXX: conjunto de control que existi alguna vez, sin importar si tuvo xito o no. CurrentControlSet: apunta al conjunto de controles que se encuentran actualmente en uso en el sistema (realmente es un puntero al ControlSetXXX ms reciente). Dentro: Control: Informacin de control de servicios y herramientas del sistema Enum: Contiene una entrada para cada dispositivo o pseudodispositivo fsico que se detecta en el sistema Hardware Profiles: Tiene una entrada para cada perfil HW definido en la mquina Services: Una subclave servicio instalado

Tipos de datos:
REG_DWORD: es una doble palabra. Es un valor sencillo representado por una cadena de 1 a 8 dgitos visualizados en formato hexadecimal REG_SZ: cadenas de texto de longitud fija REG_EXPAND_SZ: como REG_SZ, excepto que contiene una o ms variables que han sido resueltas por un servicio del sistema operativo o por una aplicacin (Un ejemplo de un valor de este tipo es %SystemRoot%\system32, donde %SystemRoot% es el directorio de instalacin de Windows) REG_BINARY: cadena de dgitos binarios REG_MULTI_SZ: entrada de datos que est compuesta por cadenas de texto mltiple. Las cadenas estn separadas

Modificar el registro
Regedit.exe Despliega una estructura grfica que representa la jerarqua del registro Permite ver y modificar las claves, subclaves, valores y contenidos de los valores dependiendo de los privilegios de seguridad que se tengan. Tambin permite conectarse a una estacin remota en la que se tengan privilegios e inspeccionarla, e incluso cambiar el contenido de su registro. Otra posibilidad es establecer los permisos de acceso al registro y aspectos de auditora, y cambiar el propietario del mismo.

 Reg.exe Es una orden de lnea (modo texto) que permite manipular las entradas del registro. Por ejemplo, aadir o borrar entradas, copiar, comparar, hacer copias, etc. Aadir una subclave llamada .cal en HKEY_CLASSES_ROOT reg add HKEY_CLASSES_Root\.cal Aadir una entrada de tipo REG_SZ dentro de .cal reg add HKEY_CLASSES_Root\.cal /v descripcion /t REC_SZ /d Calculadora Consultar el valor de una clave: reg query HKEY_CLASSES_Root\.cal Eliminar una entrada: reg delete HKEY_CLASSES_Root\.cal /v descripcion

Seguridad en el registro Se pueden establecer permisos a las claves y subclaves, para grupos o usuarios (como si se tratase de un fichero en un S.F. NTFS) Los permisos bsicos (que agrupan conjuntos de permisos especiales) son: Control total y Leer Auditora del registro Se puede auditar ciertas actividades del registro, para controlar problemas o simplemente modificaciones Los pasos a realizar son: Habilitar la auditora mediante directiva de grupo Establecer las opciones de configuracin de la auditora (en Opciones Avanzadas dentro de Permisos) seleccionando la accin a auditar, como por ejemplo Creacin de un vnculo o Crear subclave Propietario El propietario de una clave tiene el control sobre ella, pudiendo especificar los usuarios y grupos que pueden manipular esa clave