Ćwiczenie 7 Rejestr systemu Windows Rejestr systemu to centralna baza konfiguracyjna systemu. Jej zadanie jest podobne do funkcji katalogu etc w systemach Linux, Unix. Rejestr przechowuje takie informacje jak: Ustawienia sprzętowe, Profile użytkowników, Ustawienia pulpitu, Skojarzenia rozszerzeń plików, Ustawienia folderów, Informacje o zainstalowanych programach, Dane identyfikujące komputer, Ustawienia sieci Rejestr jest przechowywany w bazie hierarchicznej, która może być bezpośrednio zmieniana jedynie za pomocą specjalnego programu o nazwie Edytor rejestru, który nie jest dostępny z menu Start. Rejestr jest przechowywany w kilku plikach na komputerze. Pliki te nazywane są hives (UL) i umieszczane są w folderach a) Windows\system32\config b) Documents and Settings\nazwa_użytkownika. Zanim pojawił się rejestr, do zapisywania konfiguracji używano plików.ini. Pliki.ini to pliki tekstowe zawierające informacje o bieżącej konfiguracji komputera. Miały prostą budowę, która umożliwiała elastyczność modyfikacji wyglądu i funkcjonalności systemu. Dzielono je na pliki: konfiguracyjne, profilujące Cel powstania rejestru Windows:
Celem powstania rejestru było scentralizowanie miejsca przechowywania informacji o konfiguracji sprzętu i profilów użytkownika oraz ujednolicenie sposobu zapisu danych. Takie rozwiązanie miało zaowocować ułatwieniami w edycji oraz komunikacji pomiędzy programami. Główne składniki tego drzewa to: Poddrzewa. Poddrzewa są węzłami podstawowymi, które zawierają klucze, podklucze i wpisy wartości Klucze klucz odpowiada folderowi widocznemu w oknie Eksploratora Windows. Może zawierać wpisy podkluczy i wartości Podklucze są to klucze wewnątrz kluczy Wpis wartości ciąg danych, który pojawia się w prawym oknie Rejestru i definiuje wartość zaznaczonego klucza. Wpis wartości ma trzy części; nazwę, typ danych i wartość. Za pomocą Edytora rejestru będą edytowane wpisy. Poddrzewa W Rejestrze znajduje się pięć poddrzew: HKEY_CLASSES_ROOT; HKEY_CURRENT_USER; HKEY_LOCAL_MACHINE; HKEY_USERS; HKEY_CURRENT_CONFIG; HKEY_CLASSES_ROOT Poddrzewo to zostało utworzone głównie dla zachowania zgodności z 16-bitowymi aplikacjami systemu Windows. Zawiera informacje na temat powiązań, czyli jakie typy plików są uruchamiane za pomocą których aplikacji. Poddrzewo to zawiera również definicje każdego obiektu istniejącego w środowisku Windows. Klucze, które przechowują te definicje zawierają informacje o interfejsach obiektów, np. jakie polecenia są związane z menu skrótu obiektu.
32-bitowe aplikacje korzystają z tych samych danych, ale poprzez identyczne kopie danych umieszczone są w poddrzewie HKEY_LOCAL_MACHINE w podkluczu Software\Classes. Jeśli zmienimy wartość w jednym miejscu, jest ona automatycznie zmieniana w drugim. Gałąź ta jest jedynie wskaźnikiem do: HKEY_LOCAL_MACHINE\Software\Classes Dwa podstawowe typy kluczy HKCR to: Klucze rozszerzeń plików, których nazwy są takie jak rozszerzeń, których dotyczą. Wpisy wartości definiują, jakie programy są uruchamiane do obsługi pliku o danym rozszerzeniu. Klucze rozszerzeń plików mogą również zawierać podklucze odpowiedzialne za obsługę dodatkowych funkcji, takich jak lista programów wyświetlana w podmenu Otwórz za pomocą Klucze definicji klas zawierają informacje o obiektach COM (Component Object Model), które mogą być obsługiwane przez dowolną aplikację zgodną z modelem COM. Technologie OLE i Active zostały stworzone na podstawie modelu COM. HKEY_CURRENT_USER Poddrzewo HKCU zawiera profil użytkownika, który aktualnie jest zalogowany w systemie. Profil zawiera dopasowany do potrzeb użytkownika system, ustawienia urządzeń sprzętowych i aplikacji dla danego użytkownika. Wszystkie te informacje są zapisane w pliku NTUSER.DAT i każdy z użytkowników komputera ma własną kopię tego pliku umieszczoną w folderze użytkownika wewnątrz folderu Documents and Settings. Wiele kluczy w poddrzewie HKCU jest tworzonych przez instalowane w systemie aplikacje. Istnieje również grupa kluczy, którą system tworzy na każdym komputerze. Są to: AppEvents zawiera wartości zdarzeń aplikacji, takie jak dźwięki powiązane z określonymi wydarzeniami w systemie, jak również zapisane schematy dźwięków, Console zawiera wpisy wartości odpowiedzialne za wygląd wiersza poleceń Control Panel zawiera wpisy wartości reprezentujące ustawienia Panelu sterowania. Klucz ten odpowiada plikom WIN.INI i CONTROL.INI wykorzystywanych w poprzednich wersjach systemu Windows. Environment przechowuje zmienne środowiskowe ustawione za pomocą apletu System w Panelu sterowania Identities - zawiera wpisy wartości, które opisują identyfikatory (ID) domyślnego użytkownika i ostatniego użytkownika, który pomyślnie załogował się do systemu Keyboard Layout wpisy wartości tego klucza odpowiadają językowi bieżącego ustawienia klawiatury
Printers - zawiera wpisy wartości opisujące drukarki dostępne dla bieżącego użytkownika Software - zawiera wpisy wartości odpowiadające ustawieniom wszystkich aplikacji zdefiniowanych dla bieżącego użytkownika i mają analogiczną strukturę jak klucz HKLM Software UNICODE program Groups istnieje tylko wtedy, jeśli uaktualniłeś poprzednią wersję systemu do systemu Windows XP HKEY_LOCAL_MACHINE HKLM zawiera wpisy dla jednostki centralnej (CPU), magistrali systemowej i inne ustawienia konfiguracyjne urządzeń sprzętowych zebrane przez system Windows XP podczas uruchamiania. Zawiera również zainstalowane w systemie sterowniki, ustawienia i dane konfiguracyjne. Oprócz tego również ustawienia zabezpieczeń mogą być zapisane w tym poddrzewie. HKLM jest podzielone na pięć następujących kluczy: Hardware wszystkie podklucze klucza Hardware są generowane przez system podczas uruchamiania i istnieją jedynie w pamięci komputera, nie są zapisywane na dysku. SAM przechowuje bazę SAM (Security Manager Accounts), która zawiera informacje dotyczące użytkowników i grup skonfigurowanych na tym komputerze Security zawiera aktualne ustawienia zabezpieczeń odnoszące się do zasad i uprawnień użytkownika Software zawiera ustawienia większości aplikacji systemu System zawiera informacje dotyczące sposobu uruchamiania systemu oraz lokalizacji plików systemowych. HKEY_USERS HKU zawiera informacje na temat profili wszystkich lokalnych użytkowników komputera. W poddrzewie HKU zawsze będą co najmniej dwa klucze. Pierwszy z nich.default, zawiera zestaw domyślnych ustawień, które są wykorzystywane jeśli użytkownik nie ma jeszcze skonfigurowanego profilu. Drugim kluczem jest wbudowane w systemie konto Administrator. Dodatkowe klucze są tworzone dla każdego użytkownika w systemie. Klucze w poddrzewie HKU mają takie nazwy jak identyfikator bezpieczeństwa użytkownika i widoczne są jako długie ciągi cyfr. HKEY_CURRENT_CONFIG
HKCC zawiera informacje o aktualnie używanym profilu sprzętowym oraz urządzeniach sprzętowych generowane podczas uruchamiania systemu. To poddrzewo jest jedynie wskaźnikiem do klucza w drzewie HKLM: HKEY_LOCAL_MACHINE\System\CurrentControlSet\hardware Profiles\Current Klucze, podklucze, wpisy i wartości Każdy klucz lub podklucz może zawierać kilka wpisów lub nie zawierać żadnych wpisów. Wszystkie wpisy wartości składają się z trzech członów: nazwy, typu danych i wartości. Nazwa to przeważnie ciąg znaków. Każdy typ danych ma dwie nazwy. Pierwsza to ta, którą zobaczysz w oknie dialogowym podczas tworzenia nowego klucza lub wpisu wartości. Druga (duże litery) wyświetlana jest w kolumnie Typ podczas przeglądania Rejestru za pomocą Edytora rejestru. Typy danych używanych w Rejestrze: Wartość łańcucha znakowego (REG_SZ) Wartość binarna (REG_BINARY) Wartość DWORD (REG_DWORD) dane reprezentowane są w postaci liczby o długości 4 bajtów Wartość ciągu rozwijalnego (REG_EXPAND_SZ) ciąg danych o zmiennej długości. Obejmuje zmienne, których wartości są obliczane Wartość ciągu (REG_MULTI_SZ) ciąg wielokrotny. Wartości przedstawione są w formie możliwej do odczytania przez ludzi. Wpisy są oddzielone spacjami, przecinkami lub innymi znacznikami Wartość wielociągu (REG_FULL_RESOURCE_DESCRIPTOR) seria zagnieżdżonych macierzy zaprojektowanych do przechowywania listy zasobów składnika sprzętowego lub sterownika. Istnieją cztery rozszerzenia plików, których celem jest opisywanie celu pliku danych, w którym przechowywane są informacje Rejestru. Te rozszerzenia to: Brak rozszerzenia plik taki jest pełną kopią danych katalogu
.alt zawierają kopię zapasową katalogu HKEY_LOCAL_MACHINE\System..log plik przechowujący dokonane zmiany w danym katalogu.sav podczas instalacji systemu program instalacyjny używa plików o tym rozszerzeniu do przechowywania katalogów opisujących aktualny stan w chwili zakończenia procesu instalacji w trybie tekstowym. Jeśli wystąpi błąd podczas trybu graficznego procesu instalacji systemu Windows XP, pliki o rozszerzeniu.sav są wykorzystywane do przywrócenia informacji z katalogów. Wszystkie te pliki, z wyjątkiem HKEY_CURRENT_USER są przechowywane w c:\windows\system32\config. Pliki HKEY_CURRENT_USER są przechowywane w c:\windows\documents and Settings\nazwa użytkownika.
Security Identifiers (SID) -Identyfikatory zabezpieczeń Znane identyfikatory zabezpieczeń (tożsamości specjalne) Znane identyfikatory SID Logowanie anonimowe (S-1-5-7) Użytkownicy uwierzytelnieni (S-1-5-11) Logowanie wsadowe (S-1-5-3) Twórca właściciel (S-1-3-0) Grupa twórców (S-1-3-1) Połączenie telefoniczne (S-1-5-1) Wszyscy (S-1-1-0) Użytkownik, który połączył się z komputerem bez podawania na Do grupy należą wszyscy użytkownicy i komputery, których tożs Do tej grupy należą wszyscy użytkownicy, którzy zalogowali się Symbol zastępczy w dziedziczonym wpisie ACE. Przy dziedzicz Symbol zastępczy w dziedziczonym wpisie ACE. Przy dziedzicz Do tej grupy należą wszyscy użytkownicy, którzy logują się do s Na komputerach z systemami operacyjnymi Windows Server 200 grupy Użytkownicy uwierzytelnieni, Gość i Logowanie anonimo Aby uzyskać więcej informacji, zobacz Różnice między domyśln Użytkownicy serwera terminali (S-1-5-13) Do tej grupy należą wszyscy użytkownicy, którzy zalogowali się Interaktywna (S-1-5-4) Do grupy należą wszyscy użytkownicy, który logują się lokalnie System lokalny (S-1-5-18) Konto usługi, z którego korzysta system operacyjny. Sieć (S-1-5-2) Do grupy należą wszyscy użytkownicy, który zalogowali się prze Własne (lub Własne główne) (S-1-5-10) Symbol zastępczy we wpisie ACE dotyczącym użytkownika, gru obiekt. Podczas sprawdzania dostępu system operacyjny zamieni Usługa (S-1-5-6) Do grupy należą wszystkie główne zabezpieczenia zalogowane ja Inna organizacja (S-1-5-1000) Umożliwia sprawdzenie, czy użytkownik z innego lasu lub dome Ta organizacja (S-1-5-15) Ta grupa jest dodawana przez serwer uwierzytelniania do danych Ćwiczenia: 1. Wykonać kopie zapasową rejestru 2. Wyeksportować wybrany podklucz rejestru 3.Co oznaczają następujące typy danych przechowywane w rejestf a. REG_DWORD b. REG_SZ c. REG_EXPAND_SZ d. REG_BINARY e. REG_MULTI_SZ f. REG_FULL_RESOURCE_DESCRIPTOR 4. Należy znaleźć lokalizację plików hive na dysku na kont systemu Windows, podać konta, SID, ścieżki.
5. Sprawdzić listę użytkowników zdefiniowanych oraz konta natywne systemu oraz podać ich SID 6 Podać liczbę programów uruchamianych podczas uruchomienia systemu oraz nazwy dwóch z nich. Następnie należy wyedytować jedną z pozycji i sprawić, aby wybrany program nie uruchamiał się podczas startu systemu: Sprawdzić, czy ustawienie działa. Następnie dodać kolejną wartość do klucza tak, aby podczas uruchomienia systemu uruchamiany był również program Paint. 7. Przejść do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL. Co zawiera ta gałąź? Co stanie się, kiedy zostanie zmieniona wartość klucza w gałęzi DefaultPrefix? Zmienić właściwości domyśle na inne. 8. Należy w Windows XP ustawić aby wyświetlało się domyślnie konto Administrator przy wyborze użytkowników (logon screen) HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 9. Zadanie podobne do 8, lecz tym razem należy ukryć konto który się wyświetla domyślnie na ekranie logowania. HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 10. Przygotować własny plik z zawartością do aktualizacji rejestru. Powinna ona zawierać klucz HKEY_LOCAL_MACHINE\SOFTWARE\ImieNazwisko (gdzie ImieNazwisko to imię i nazwisko studenta). W środku powinny znajdować się jeszcze dwa klucze o dowolnej nazwie, zaś w każdym z nich po jednej wartości liczbowej i tekstowej, np. UserName (z wartością podaną przez studenta) oraz UserCount (z wartością 1). 11. Przejść do gałęzi HKEY_CLASSES_ROOT. Należy stworzyć nowe rozszerzenie dla pliku i skojarzyć je z obecnym programem np. Wordpad. Wykonujemy to metodą tradycyjną control folders, następnie patrzymy jak zostało to odzwierciedlone w Rejestrze i ponownie powtarzamy krok dla innego rozszerzenia, ale używając rejestru np. plik aa.jarek wstazuje na wordpad albo WMP 12. Przejść do klucza HKEY_CURRENT_USER\Environment. Podać, co on zawiera. Dodać nową wartość w tym kluczu o nazwie np. test. Jako wartość podać %windir%\system32. Sprawdzić, czy wartość pojawiła się wśród zmiennych systemowych. 13. Dodać wpis w rejestrze o MAC adresie NetworkAddress. Sprawdzić
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \Class \{4D36E972-E325-11CE-BFC1-08002BE10318} 14. Przywracanie systemu do punktu kontrolnego (System Restore) a) Należy stworzyć punkt przywracania b) Przywrócić system do wybranego punktu