Как скрыть реестр на windows 7

Windows 7 — Ограничение доступа к реестру

Реестр — это очень уязвимая часть операционной системы Windows. Поэтому, если вы не знаете какие именно изменения вы производите в реестре, вы можете серьезно повредить операционную систему своего компьютера. Сегодня мы покажем вам, как ограничить доступ к реестру пользователям операционной системы Windows 7.

Сначала введите gpedit.msc в поле поиска меню «Пуск».

После открытия редактора групповой политики, перейдите в раздел «Конфигурация пользователя» -> «Административные шаблоны», а затем выберите «Система». В правой панели дважды щелкните на параметр «Запретить доступ к средствам редактирования реестра».

Установите переключатель в положение «Включить», нажмите кнопку «ОК», затем закройте редактор «Групповой политики».

Теперь, если пользователь попытается получить доступ к реестру.

Он получит предупреждение, что он не имеет к нему доступа.

Примечание: этот метод использует редактор Групповой политики, который не доступен в домашних версиях Windows 7.

Источник

Недокументированные возможности Windows: скрываем изменения в реестре от программ, работающих с неактивным реестром

Зачем это нужно?

Сокрытие ключей реестра от программ, работающих с неактивным реестром, при сохранении возможности обычной работы с этими ключами стандартными средствами операционной системы Windows (в составе активного реестра) может быть использовано для достижения двух целей:

1. сокрытие внесенных в реестр изменений от криминалистического исследования (например, сокрытие ключей определенного сервиса, которые будут корректно прочитаны и использованы операционной системой Windows в процессе загрузки, но не будут видны для сторонних программ, работающих с неактивным реестром, во время исследования накопителя);
2. сокрытие внесенных в реестр изменений от предзагрузочного контроля целостности (например, внесение таких изменений в ключи реестра, которые не будут видны для модулей доверенной загрузки во время контроля целостности, но будут видны для самой операционной системы Windows).

Как это происходит?

Реестр Windows состоит из двух частей: энергозависимая часть (ключи реестра и значения, которые будут потеряны после отключения куста из-за того, что они не сохраняются в файл; пример: ключ «CurrentControlSet» куста «SYSTEM»), энергонезависимая часть (синхронизируется с файлом куста реестра).

Поскольку во время записи энергонезависимой части в файл куста необходимо обеспечить целостность сохраняемых данных (например, в случае сбоя электропитания, прерывающего операции записи данных), ядро Windows использует журналирование реестра — записываемые данные сохраняются сначала в файл журнала (этот файл находится в одной директории вместе с основным файлом и имеет расширение «.LOG», «.LOG1» или «.LOG2») и только потом в основной файл куста (если запись в файл журнала не будет успешно завершена, то основной файл останется целым и нетронутым, а если запись в основной файл не будет успешно завершена, то его целостность можно восстановить с помощью данных из журнала, которые были успешно записаны до сбоя).

Предлагаемый способ сокрытия ключей (и их значений, а также других элементов) заключается в сохранении соответствующих данных только в журнал, но не в основной файл куста реестра. Сторонние программы, работающие с неактивным реестром, в подавляющем большинстве случаев игнорируют файл (файлы) журнала, а потому ключи реестра, хранимые в журнале, но не в основном файле, будут невидимыми для этих программ. Ядро Windows, с другой стороны, использует журнал для восстановления целостности куста при его подключении, а потому обсуждаемые ключи будут видимыми для ядра и, соответственно, других запущенных программ.

Для блокирования записи в основной файл куста можно использовать отладочный механизм, который появился в Windows Vista. Для понимания сути этого механизма необходимо рассмотреть появившуюся в Windows Vista схему журналирования.

Журналирование до Windows Vista

В Windows XP и более ранних версиях Windows каждому энергонезависимому кусту реестра соответствует один основной файл и один файл журнала. Исключением из этого правила является куст SYSTEM в Windows 2000 и более ранних версиях Windows, который зеркалируется (в файл с именем «system.alt»), а не журналируется, чтобы упростить код загрузчика (который должен загрузить в память указанный куст) и не добавлять в него поддержку восстановления из журнала (под зеркалированием понимается поочередная запись данных в два основных файла, которые в результате будут иметь одинаковую логическую структуру ключей, значений и других элементов).

Журналирование происходит путем компактного (без выравнивания по смещениям) сохранения в файл журнала подлежащих записи в основной файл данных вместе со структурой — битовой картой секторов основного файла, которая позволяет определить, по каким смещениям нужно записать в основной файл блоки данных из файла журнала. Если при подключении куста будет установлено, что в его основной файл не была завершена запись данных, то будут прочитаны блоки из файла журнала, определены (с помощью битовой карты) смещения этих блоков в основном файле, а затем эти блоки будут записаны в основной файл, таким образом завершая ранее прерванную из-за сбоя запись.

Подобная схема имеет существенный недостаток — если во время записи в основной файл произойдет ошибка ввода-вывода (например, из-за попытки записи в сбойный сектор), то дальнейшие операции синхронизации куста с основным файлом окажутся невозможными до перезагрузки компьютера (даже в том случае, если сбойный сектор будет нейтрализован переназначением секторов на уровне драйвера файловой системы или хранилища). Это происходит из-за того, что журналирование каждый раз очищает файл журнала от старых данных, а значит ошибка записи в основной файл приведет к нарушению целостности этого файла, и новая попытка синхронизации куста потребует стирания данных из журнала, который остался единственным способом восстановить уже нарушенную целостность основного файла.

Следовательно, если такое стирание журнала допустить, возможно возникновение ситуации, когда из-за нового сбоя будет нарушена целостность единственного файла журнала, при этом целостность основного файла была нарушена предыдущим сбоем.

Журналирование начиная с Windows Vista (до Windows 8.1)

Для решения проблемы синхронизации куста с основным файлом в условиях повторяющихся сбоев была реализована схема двойного журналирования. В этой схеме каждому основному файлу соответствуют два файла журнала (с расширениями «.LOG1» и «.LOG2»). По умолчанию используется первый файл журнала («.LOG1»).

Если при записи в основной файл произошла ошибка, то происходит смена файла журнала (с «.LOG1» на «.LOG2» и наоборот). Таким подходом обеспечивается постоянное наличие корректного файла журнала, в котором есть данные от предыдущей попытки синхронизации. В результате сбой во время записи в файл журнала (после сбоя во время записи в основной файл) не приведет к неисправимому нарушению целостности куста реестра (кстати говоря, если такая ситуация все же возникнет, в ядре Windows есть механизмы самовосстановления, исправляющие явные ошибки в логической структуре куста).

Но такую схему журналирования нужно отладить, а потому в ядро Windows была внедрена переменная, позволяющая имитировать повторяющиеся ошибки записи в основные файлы всех кустов реестра, — CmpFailPrimarySave. По неизвестным причинам эта переменная есть и в обычных версиях ядра (а не только в отладочных версиях). Если в эту переменную записать некоторое значение, отличное от нуля, то функция записи данных в основной файл будет имитировать ошибку на разных этапах такой записи.

Следует отметить, что в процессе подключения куста реестра ядро должно выбрать, какой из двух файлов журнала использовать для восстановления, для чего реализуется относительно сложный алгоритм, определяющий, какой из файлов журнала сохранил целостность, какой из них содержит более позднюю версию записываемых данных и т. д. До Windows 8 этот алгоритм содержал серьезную ошибку, в результате которой почти во всех случаях, вне зависимости от конкретных деталей, выбирался первый файл журнала («.LOG1»). В частности, для Windows 7 соответствующие исправления алгоритма были выпущены лишь в марте 2016 года (следовательно, все это время двойное журналирование в Windows 7 предоставляло защиту целостности не лучше, чем Windows XP). Для преодоления описанной ошибки необходимо не только блокировать запись в основной файл куста, но и блокировать переход ко второму файлу журнала («.LOG2») в случае сбоя (чтобы первый файл журнала всегда содержал наиболее поздние данные, пусть даже и в ущерб целостности в случае сбоя; в противном случае при следующей загрузке системные кусты реестра могут быть восстановлены в состояние, неожиданно более раннее, чем при завершении штатного выключения компьютера). К счастью, следующее значение обсуждаемой переменной позволяет достигнуть желаемого эффекта без смены файла журнала — 3.

Эта же переменная будет работать так же и в более новых версиях Windows (8.1 и 10), где применяется другой способ журналирования (вне рамок данной статьи).

Эксперимент

В качестве эксперимента создадим невидимые ключ и его значение в операционной системе Windows 7 (Service Pack 1). Для этого в запущенной операционной системе изменим (редактированием памяти) значение переменной ядра CmpFailPrimarySave с 0 на 3, а затем создадим ключ реестра «HKEY_LOCAL_MACHINE\SYSTEM\invisible_key» со значением с именем «invisible_value», содержащим строку «123456». Затем выключим операционную систему штатным способом и экспортируем файлы куста реестра SYSTEM.

После повторного включения операционной системы запустим редактор реестра и отметим, что искомые ключ и значение в нем видны (рис. 1).

Рис. 1: Редактор реестра Windows

В то же время в экспортированных файлах реестра искомые ключ и значение сторонние программы (например, Windows Registry Recovery и Registry Explorer) не отображают (рис. 2 и 3).

Рис. 2: Windows Registry Recovery

Рис. 3: Registry Explorer

Источник

Как отключить доступ к реестру Windows — введите regedit

Игровой автомат Windows реестр позволяет просмотреть конфигурацию компьютера, изменить все параметры системы. Возможно, вы никогда не обращались к нему или не заинтересованы в этом, но вы также можете захотеть заблокировать доступ, потому что компьютер находится в большем количестве рук, и это может представлять риск, если кто-то прикоснется к нему, не зная, что они делают. В этом случае мы можем отключить доступ к редактору реестра Windows чтобы никто не мог получить к нему доступ без вашего разрешения.

Но, как мы уже говорили, это может быть рискованно, если кто-то неосознанно трогает реестр Windows, удаляет что-то по ошибке. Вот почему может быть интересно временно отключить его или запретить доступ. Когда это хорошая идея? Например, на общих компьютерах или на компьютерах, которые будут использоваться многими людьми: на работе, в компьютерном классе или даже у вас дома, если есть несовершеннолетние, и вы не хотите, чтобы они что-то удалили или повредили по ошибке. .

Что такое реестр Windows

Реестр Windows или Regedit позволяет нам изменять настройки и параметры компьютера, как мы объясняли ранее. Это инструмент по умолчанию из Microsoft который он предлагал в течение многих лет и к которому мы можем получить доступ, коснувшись значка Windows на клавиатуре + R, чтобы позже ввести REGEDIT. Отсюда мы можем видеть все каталоги, ключи и значения…

Для чего мы это используем? Делать резервные копии, устранять сбои, находить решения, удалять программы, установленные по умолчанию и многое другое.

Как отключить от regedit

Шаги могут немного отличаться от одной версии операционной системы к другой, но в целом достаточно будет сделать это из самого реестра, выполнив несколько простых шагов и изменив некоторые параметры из него, и это займет у нас всего пару минут всякий раз, когда мы хотим активировать или деактивировать его.

Чтобы отключить доступ к реестру Windows из самого реестра, нам сначала нужно выполнить два начальных шага. Первое, что мы должны сделать, это нажмите клавиши Win+R на компьютере, чтобы открылось окно «Выполнить». Когда вы нажмете клавиши, вы увидите, что в левом нижнем углу экрана появляется окно с полем, в котором мы должны написать, как и во многих других случаях, regedit. Получив его, нажмите Enter, и мы окажемся внутри реестра.

Когда мы вошли, мы увидим, что в левой части экрана появляются всевозможные папки, и мы должны идти по определенному пути. Мы должны пойти к:

• KEY_CURRENT_USER
• программного обеспечения.
• Microsoft
• Windows
• CurrentVersion
• Система

Или мы также можем скопировать маршрут:

В случае, если системный ключ не существует или мы не видим его на экране , мы должны создать его. Как? Шаги просты, и это займет всего несколько секунд.

• Щелкаем по Policies правой кнопкой
• Играем в «Новое»
• Откроется выпадающее меню с опциями
• Выбираем «Ключ»
• Мы меняем название на « Система

Следующее, что нам нужно сделать, это создать в системном ключе новое значение с именем DisableRegistryTools. Итак, мы щелкаем правой кнопкой мыши на правой панели внутри системы и выбираем опцию «Создать». Здесь мы выбираем вариант «32-битное значение DWORD» в меню опций, в контекстном меню. Когда мы уже создали его, мы должны изменить его имя и поставить «DisableRegistryTools».

После того, как имя было изменено, дважды щелкните новое созданное значение, и появится окно, в котором мы можем изменить имя, выбрать базу или информацию о значении. В «ценная информация» вы увидите, что есть 0, и мы должны изменить его на «1». Когда он у вас есть, подтвердите с помощью « OK И закройте окно.

Сохраняем изменения закрыв реестр Windows и с этого момента мы уже можем проверить, как при попытке доступа к реестру Windows появляется окно, информирующее нас о том, что администратор компьютера отключил модификацию реестра Windows.

Блокировать доступ к сети

Есть варианты, которые позволяют нам получить доступ к реестру Windows удаленно, с другого подключенного компьютера. Он доступен, хотя по умолчанию он деактивирован, и мы ничем не рискуем. если мы ранее не активировали его, но мы можем убедиться, что это так, и это займет у нас всего несколько секунд.

Мы снова касаемся Windows + R, чтобы открыть окно запуска. Но мы сейчас не открываем regedit а пишем services.msc и откроется окно служб компьютера. Здесь мы должны искать «удаленная регистрация» в списке. Мы дважды щелкаем по нему, и откроется окно, в котором говорится: общее, запуск сеанса, восстановление, зависимости… кроме того, мы увидим раскрывающееся меню с путем доступа, которое позволяет нам выбирать между автоматическим (отложенный запуск) , автоматический, ручной, отключенный. Отметьте последний вариант и подтвердите, нажав «Принять», чтобы предотвратить доступ к реестру с соответствующего пути.

Используйте сторонние инструменты

Есть и другие приложения, которые мы можем использовать специально для этого, если мы не хотим трогать реестр и выполнять описанные выше шаги каждый раз, когда мы хотим отключить доступ или включить его. Есть специализированные программы, которые позволят нам сделать это быстро. Бесплатные и портативные программы, такие как Policy Plus, например.

Policy Plus — бесплатная переносимая программа с открытым исходным кодом. Мы можем скачать его с гитхаба и нам не нужно ничего устанавливать, просто скачайте его на компьютер, и мы можем запустить исполняемый файл, чтобы начать его использовать. Он не требует установки, и это очень просто, если мы хотим активировать или деактивировать эти параметры.

Что делает Policy Plus, так это дает пользователям Windows Home возможность отключить доступ к системному реестру, как если бы они имели доступ к групповой политике Windows. После того, как мы запустили Policy Plus, мы переходим к опции «Справка»> «Получить файлы ADMX», чтобы убедиться, что у нас есть последние файлы политики, а затем мы принимаем папку назначения. Позже мы нажимаем «Да», чтобы открыть и загрузить файлы ADMX в инструмент, и мы готовы его использовать.

Чтобы отключить доступ к реестру Windows, перейдите к Система на левой панели, а затем дважды щелкните значок Запретить доступ к средствам редактирования реестра вариант. Откроется новое окно, в котором мы должны отметить параметр «Включено» и нажать «ОК», чтобы сохранить изменения. Возможно, нам придется перезагрузить компьютер, чтобы изменения вступили в силу. После того, как мы это сделали, мы проверяем, работает ли это и можем ли мы получить к нему доступ или нет.

Источник