www.lgeoffrin.c.la
		webmail

Le Registre

• Qu'est-ce que le Registre?
• Quels sont les fichiers qui constituent le Registre, et où sont-ils localisés?
• Comment limiter l'accès à l'éditeur de Registre?
• Quelle est la taille maximum du Registre?
• Faut-il utiliser REGEDIT.EXE ou REGEDT32.EXE?
• Comment restreindre l'accès à un Registre d'une machine distante?
• Comment connaître les modifications apportées au Registre?
• Comment supprimer une valeur/clé du Registre à partir de la ligne de commande?
• Comment auditer les modifications apportées au Registre?

Le Registre

Q. Qu'est-ce que le Registre?

A. A l'origine, Windows se servait de fichiers .ini, ce qui posaient de nombreux problèmes ( limitation de la taille, une organisation non standardisée, des temps d'accès longs, pas de support réseau etc). Windows 3.1 se servait d'un registre stocké dans reg.dat, que l'on pouvait consulté avec regedit.exe et qui était utilisé par DDE, OLE et le Gestionnaire de fichier. Windows NT met, pour sa part, le Registre au coeur de NT; c'est dans le Registre que sont stockées presque toutes les informations, réparties dans des sous-arbres, chacun commençant par HKEY_ pour indiquer qu'il s'agit d'un handle pouvant être utilisé par un programme.
 

Chacun des sous-arbres a un certain nombres de clés, qui ont aussi de nombreuses sous-clés. Chaque clé/sous-clé peut avoir plusieurs valeurs composées de trois parties :

• Le nom de la valeur, par exemple Wallpaper
• Le type de la valeur, par exemple REG_SZ (qui est une chaîne de caractère)
• La valeur proprement dite, par exemple "c:\winnt\savilltech.bmp"

• Pour éditer le Registre il y a deux possibilités, regedt32.exe et regedit.exe. Regedit.exe a des fonctionnalités de recherche plus puissantes, mais ne supporte pas tous les types de valeurs du Registre. Si vous voulez juste parcourir le Registre :
  1. Lancer l'éditeur de Registre (regedit.exe ou regedt32.exe)
  2. Avec Regedt32.exe, vous pouvez positionnez le Registre en mode Lecture Seule ce qui vous protège d'éventuels catastrophes :-) (Options - Read Only Mode)
  3. Sélectionner la sous-clé HKEY_USERS
  4. Placez vous dans .default - Control Panel - Desktop et vous y trouverez des valeurs dans la fenêtres de droites.
  5. L'une de ses valeurs est Wallpaper et c'est le fond d'écran affiché avant la connexion.

  Q. Quels sont les fichiers qui constituent le Registre, et où sont-ils localisés?

  A. Les fichiers qui constituent le Registre sont dans le répertoire %systemroot%/system32/config :

  • SAM - HKEY_LOCAL_MACHINE\SAM
  • SECURITY - HKEY_LOCAL_MACHINE\Security
  • software - HKEY_LOCAL_MACHINE\Software
  • system - HKEY_LOCAL_MACHINE\System & HKEY_CURRENT_CONFIG
  • default - HKEY_USERS\.DEFAULT
  • Ntuser.dat - HKEY_CURRENT_USER (ce fichier est stocké dans %SystemRoot%\Profiles\%username%)

  Il y a aussi d'autres fichiers avec des extensions différentes :

  • .alt - Contient une copie de sauvegarde de la ruche HKEY_LOCAL_MACHINE\System. Seul System possède un fichier .alt
  • .log - Un fichier de log des changements de clés et de valeurs
  • .sav - Une copie de la ruche tel qu'elle l'est après le mode texte de l'installation

  Q. Comment limiter l'accès à l'éditeur de Registre?

  A. Avec l'éditeur de Registre (regedt32.exe)

  1. Sélectionnez HKEY_USERS et dans le menu Registre, choisir Load hive
  2. Choisir dans le répertoire utilisateur NTUser.dat.
  3. Donner le UserID de l'utilisateur lorsque un Key Name est demandé, aller dans \Software\Microsoft\Windows\CurrentVersion\Policies.
  4. Sil n'existe pas de sous-clé System, Add key. Puis Add Value of DisableRegistryTools (sous la clé System) en utilisant le type REG_DWORD avec la valeur 1.
  5. Choisir Unload Hive dans le menu Registre.

  Q. Quelle est la taille maximum du Registre?

  A. La taille maximum est de 102MB, toutefois c'est un peu plus complexe que cela.

  L'entrée de Registre qui contrôle la taille maximum du Registre est HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RegistrySizeLimit. Par défaut, cette entrée n'existe pas, il faut donc la créer manuellement :
   

  1. Lancer l'éditeur de Registre(regedit.exe)
  2. Placez-vous sur la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
  3. Dans le menu Edit, choisissez New - valeur Dword et entrée le nom RegistrySizeLimit
  4. Double cliquer la nouvelle entrée et saisissez une valeur

  La taille minimale est de 4 MB, si une valeur inférieure est donnée dans le registre, elle sera "forcé" à 4MB.
  Le maximum représente 80% du paged pool (qui a un maximum de 128 Mo, d'où la limite de 102 Mo). Si aucune valeur n'est saisie, la taille maximum est de 25% du paged pool. Le paged pool est une zone de la mémoire physique utilisée pour des données sytèmes qui peut être écrite sur disque lorsqu'elles ne sont pas utilisés.

  Il faut noter que la RegistrySizeLimit est un maximum, et non une allocation, et saisir une valeur élevée ne réserve pas d'espace et ne garanti donc pas que l'espace sera disponible.

  Cela peut aussi se configurer avec l'applet System dans le Control Panel, choisissez l'onglet Performance. Il vous faudra redémarrer.

  Pour davantage d'informations, voir l'article Q124594 dans la Knowledge Base.

  Q. Faut-il utiliser REGEDIT.EXE ou REGEDT32.EXE?

  A. Vous pouvez utiliser les deux. REGEDIT a quelques limitations, la plus notable étant qu'il ne supporte pas tous les types de données comme REG_MULTI_SZ, si vous éditez ce type de donnée avec REGEDIT, il modifiera son type.

  REGEDIT.EXE est basé sur la version Windows 95 and a des fonctionnalités que REGEDT32.EXE n'offre pas (comme la recherche). En général, REGEDIT.EXE est plus agréable à utiliser; il montre aussi la position courante ,dans le Registre, dans le bas de la fenêtre.

  Q.  Comment restreindre l'accès à un Registre d'une machine distante?

  A. L'accès à un Registre distant est contrôlé par l'ACL sur la clé winreg.

  1. Lancer l'éditeur de Registre (regedt32.exe)
  2. Placez vous dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
  3. Localisez une clé appelée winreg. Si elle n'existe pas, la créer (Edit -Add Key)
  4. Sélectionnez la clé winreg (par un clique)
  5. Dans le menu Security, choisir permissions
  6. Cliquer sur le bouton Add and donner à l'utilisateur de votre choix un accès en lecture
  7. Une fois ajouter, cliquer sur l'utilisateur et choisissez "Special Access"
  8. Double cliquez sur l'utilisateur et vous pouvez alors choisir quels actions il peut effectuer
  9. Puis cliquer sur OK

  Il est possible de rendre certaines clés accessible même si l'utilisateur n'a pas d'accès en éditant la valeur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths\Machine (utiliser regedt32). Vous pouvez ajoutez des chemins à cette liste.

  Voir l'article Q153183 à l'adresse http://www.microsoft.com/kb/articles/q153/1/83.htm

  Q. Comment connaître les modifications apportées au Registre?

  A.  Avec regedit.exe, il est possible d'exporter des parties du registre :
   

  1. Lancer l'éditeur de registre (regedit.exe)
  2. Sélectionnez la clé que vous voulez surveillez
  3. Dans le menu Registre choisir "Export registry file"
  4. Entrer un nom de fichier (si vous voulez exporter la totalité du Registre, choisissez "Export Range All") et cliquez sur OK
  5. Effectuer les changements (installation de logiciels ou changements de paramètres systèmes)
  6. Recommencez les étapes 1 à 4 avec un nom de fichier différent
  7. Passer les deux fichiers dans un utilitaire de comparaison de fichier (par exemple : windiff.exe)
  8. Si vous utilisez windiff, choisissez Compare Files dans le menu File et vous devrez choisir alors les deux fichiers à comparer.
  9. Une fois comparer, une liste des différences s'affichera, double-cliquez sur l'un des messages pour lire afficher les différences

  Q. Comment supprimer une valeur/clé du Registre à partir de la ligne de commande?

  A. Avec l'utilitaire (du  Windows NT Resource Kit Supplement 2) REG.EXE, vous pouvez supprimez une valeur du Registre à partir de la ligne de commande ou d'un fichier de commande :

  reg delete HKLM\Software\test

  Supprime la valeur HKEY_LOCAL_MACHINE\Software\test. Après avoir tapé cette commande, vous devrez confirmez la suppression de cette valeur par Y. Pour ne pas avoir à confirmer, ajoutez /f à la commande :

  reg delete HKLM\Software\test /f

  La liste complète des codes à utiliser avec REG DELETE sont :
   

  HKCR	HKEY_CLASSES_ROOT
  HKCU	HKEY_CURRENT_USER
  HKLM	HKEY_LOCAL_MACHINE
  HKU	HKEY_USERS
  HKCC	HKEY_CURRENT_CONFIG

  Pour supprimer une entrée sur une machine distante, ajoutez le nom de la machine, \\<machine name> :

  reg delete HKLM\Software\test \\johnpc

  Q. Comment auditer les modifications apportées au Registre?

  A. Avec regedt32.exe, il est possible d'auditer certaines parties du Registre. La notion d'audit étant  "sensible", vous voudrez peut-être un avertissement aux utilisateurs les informant que les changements sont audités.

  1. Lancer l'éditeur de Registre (regedt32.exe)
  2. Sélectionnez la clé que vous voulez auditer (e.g. HKEY_LOCAL_MACHINE\Software)
  3. Dans le menu Security, choisissez Auditing
  4. Cochez la case "Audit Permission on Existing Subkeys" si vous voulez que les sous-clés soient aussi auditées
  5. Cliquez sur Add et choisissez les utilisateurs à auditer, cliquez sur Add et OK
  6. Un fois qu'il y a des noms dans la boîte Names, vous pouvez choisir les événements à auditer.
  7. Cliquez sur OK une fois toutes les informations saisies

  Vous devrez vérifiez que "Auditing for File and Object access" est activé (avec User Manager - Polices - Audit).

  Pour voir les infomations, utiliser Event Viewer et regarder dans les informations de Security.