TEMA 4 Registro Windows
TEMA 4 Registro Windows
TEMA 4 Registro Windows
Windows 10 es un sistema operativo altamente configurable y que cuenta con una gran cantidad de
técnicas avanzadas normalmente no usadas por los usuarios genéricos pero que como
Administradores de Sistemas debemos conocer. Tratemos algunas de ellas.
En las versiones anteriores a Windows 95, cada programa que se instalaba en el sistema (incluyendo
los propios programas de Windows) contaba con una serie de ficheros donde se almacenaban las
configuraciones de dichos programas. Estos ficheros solían tener la extensión .ini y se contaban por
miles los que en un momento dado podían estar instalados. A partir de Windows 95, aunque no se
prohibieron los ficheros .ini se ideo otra forma de trabajar. Se creó una base de datos jerárquica
central donde se guardan todas las configuraciones de todos los programas, incluidas las
configuraciones del sistema operativo. Esta base de datos es conocida como el Registro de
Windows.
Cualquier opción que escojamos en el panel de control, en un menú de Word, una preferencia que
escojamos en un juego que instalemos, cualquier directiva de grupo que activemos, etc., en realidad
hace referencia a un cambio que se produce en una clave del Registro. Asimismo, existen miles de
posibles configuraciones que no están a nuestro alcance usando medios normales, pero se pueden
configurar desde el Registro.
Hay que tener mucho cuidado a la hora de editar el Registro. Es potencialmente posible destruir
absolutamente todo nuestro sistema. Cualquier cambio que se realice, debe estar meditado con
anterioridad, y nunca debe realizarse ningún cambio sin contar con una copia de seguridad
actualizada del Registro. Tocar el registro viene a ser como tocar directamente las piezas del
motor de un coche, nos da la máxima potencia posible a la hora de modificar el coche, pero si
cometemos un error no hay marcha atrás, no hay ningún sistema que nos vigile para asegurarnos de
que no metemos la pata.
Las carpetas representan claves del Registro y se muestran en el área de exploración en el lado
izquierdo de la ventana Editor del Registro. En el área de temas de la derecha, se muestran las
entradas de una clave. Al hacer doble clic en una entrada, se abre un cuadro de diálogo de edición.
Como es obvio, esta herramienta de edición del registro sólo puede ser usada por usuarios
avanzados de nuestro equipo, como todos los miembros del grupo Administradores.
Clave Descripción
En cada una de estas carpetas, y en sus sucesivas subcarpetas o subdirectorios, podemos crear
tanto carpetas en la parte izquierda, como entradas en la parte derecha. Estas entradas pueden ser
variables de cuatro tipos distintos de datos.
Normalmente, cuando tengamos que crear una entrada para realizar algo, se nos indicara de qué
tipo tiene que ser.
Editando el Registro.
Al editar el registro hay que tener en cuenta una serie de cuestiones
1) Cualquier cambio que se realice en el registro, se aplicará de inmediato y no existe ninguna
función deshacer. Es decir, no existe ninguna forma automática de dar marcha atrás.
2) Cualquier cosa que se borre en el registro, se borra automáticamente. El registro no espera a
que pulsemos Guardar (save) para guardar el registro en disco, los cambios se guardan
automáticamente.
Una forma relativamente segura de editar el registro, consiste es realizar una copia de seguridad
antes de modificar nada, de forma que si deseamos volver atrás, siempre podamos cargar la copia
de seguridad. En el menú Archivo del programa Regedit, tenemos la opción Exportar que nos
permite grabar todo el Registro, o simplemente una porción del mismo.
Es conveniente exportar a un sitio seguro la rama del registro que vamos a modificar, de modo que
siempre podamos restaurarla en caso de necesidad desde el menú Archivo con la opción Importar.
Hay que tener en cuenta una cosa a la hora de importar y exportar partes del registro. Si
exportamos un archivo .reg (archivo de registro) realizamos una copia parcial únicamente, de modo
que si exportamos, añadimos una clave nueva al registro, y luego importamos, nuestra clave nueva
seguirá existiendo. Sin embargo, un archivo de subárbol realiza una copia total, de modo que si
exportamos, añadimos una clave nueva al registro, y luego importamos, veremos como nuestra nueva
clave desaparece dejando el registro tal y como estaba a la hora de realizar la exportación.
Mientras que los archivos .reg se guardan en modo texto, y por lo tanto son editables, los archivos
de subárbol se guardan en formato especial, y no pueden ser editados ni visualizados por métodos
normales.
Para cambiar el valor de una clave del registro, normalmente solo tenemos que hacer doble clic
sobre dicha clave (en el panel de la derecha) lo que nos mostrará un formulario donde podremos
indicar el nuevo valor.
Vamos a realizar un pequeño ejercicio para comprobar como encontramos y modificamos un valor. Si
vamos a las propiedades del sistema (botón derecho – propiedades sobre el icono de Mi PC ó bien
Tecla Windows + Pause) veremos:
como aparece Id. Del producto 00329-90000-00001-AA706). Este dato se pidió en el momento de
la instalación, y no es posible cambiarlo. En Windows 10 hay que ejecutar Winver.exe.
Sin embargo, esta información esta almacenada como no podía ser de otra forma en el Registro.
Abrid el editor de registro (Regedit.Exe) y en el menú edición escoged la opción Buscar (Control –
B). Como buscar el nombre que aparece en Registrado puede ser complicado ya que puede aparecer
multitud de veces, vamos a buscar el número que aparece debajo del nombre en propiedades de Mi
PC. Para ello introducir el número en buscar, y marcar que busque sólo en Datos.
El valor que nos interesa es uno llamado ProductId, si encontráis el número en otro valor basta con
que indiquéis “Seguir Buscando” o pulséis la tecla F3 para que busquéis la próxima vez que aparece
el valor.
En la misma carpeta (clave) en que encontramos ProductId veremos que aparecen dos valores
RegisteredOwner y RegisteredOrganization. Estos son los campos donde se guardan los textos que
vemos en propiedades de Mi PC. Cambiad estos valores por otros cualesquiera. Cerrad la ventana de
propiedades de Mi PC si es que la tenéis abierta, y volver a abrirla. Mirad si ha cambiado algo.
Comprobareis como cualquier cambio que se hace en el registro es automáticamente ejecutado por
el sistema, sin tener siquiera que cerrar el editor del registro. Esto hace que tengamos que andar
con pies de plomo a la hora de modificar valores en el registro.
Si miramos en el registro ese valor que hemos modificado, el de RegisteredOwner, veremos como
existe una ruta para llegar a ese valor, al igual que existe una ruta para llegar a un archivo. En
concreto, la ruta completa de RegisteredOwner es:
Mi PC\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner
Comprobad como al hacer click derecho sobre una entrada del registro, el sistema nos da las
opciones para eliminar una entrada, y como también podemos crear entradas nuevas en el registro
dentro de cualquier clave.
Bien, ahora veamos como exportar ramas. Volved a colocaros en dicha rama, sino estáis ya allí, y en
el menú Archivo del editor del registro, escoged la opción Exportar. Marcad en la zona inferior del
formulario de grabación Rama Seleccionada, y aseguraros de que la rama es la que hemos indicado
arriba. (No importa que no comience con Mi PC). Ponerle un nombre al fichero .reg que se va a
grabar y guardarlo en cualquier directorio. Abrid ahora dicho fichero .reg con el block de notas, y
comprobad su contenido.
El archivo resultante es bastante grande, ya que esta rama que hemos exportado contiene mucha
información, sin embargo lo que a nosotros nos interesa se encuentra al principio de dicho fichero,
que será algo parecido a:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"CurrentBuild"="1.511.1 () (Obsolete data - do not use)"
"InstallDate"=dword:3c6674ea
"ProductName"="Microsoft Windows XP"
"RegDone"=""
"RegisteredOrganization"="Luna"
"RegisteredOwner"="Luis Enrique"
Vemos como es una estructura típica de un archivo de registro en Windows. Vamos a realizar
nuestro propio archivo de registro. Para ello, cread con el block de notas un fichero con nombre
HOLA.REG y el siguiente contenido.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner"="ERNESTO MATE"
En dicho fichero como veis, indicamos simplemente la versión que usamos (5.0) la ruta completa
donde quiero trabajar y el valor que le quiero dar a la entrada. Una vez grabado dicho fichero con el
contenido arriba indicado (contenido exacto), haced doble click sobre dicho fichero HOLA.REG.
Veremos como Windows nos pide confirmación para insertar la información del fichero HOLA.REG
en el registro.
Confirmar que se agregue HOLA.REG al registro. Ahora, pulsad Tecla Windows + Pause para ver que
ha ocurrido con el usuario registrado del sistema.
Este es un método muy simple de modificar valores del registro. Basta escribir un fichero con la
cabecera arriba indicada, escribir la ruta completa del valor a modificar entre corchetes, y
posteriormente, y entre comillas la entrada a cambiar y el valor al que se va a cambiar.
Una ultima cosa, las claves del registro (en el panel izquierdo) tienen también permisos para
usuarios, al igual que las carpetas. Dando botón derecho sobre una clave, y escogiendo la opción
permisos podremos indicar que usuarios de nuestro sistema tienen derecho a modificar dicha clave
(pensad en esto, si existe una clave que indica el nombre del fondo de pantalla, por ejemplo, y
quitamos permisos a todos los usuarios menos al Administrador para modificar esta clave…..).
Un suceso es cualquier incidencia que se produce en un sistema, que puede ser potencialmente
interesante para un administrador.
Windows permite llevar un registro de los sucesos que se producen en el sistema. Estos registros
son almacenados automáticamente en tres ficheros:
Seguridad (Secevent.evt),
Aplicación (Appevent.evt)
Sistema (Sysevent.evt).
Los sucesos se dividen en categorías o tipos, y estos pueden ser:
Al hacer doble clic sobre un suceso, veremos una información detallada del mismo. También
podemos acceder a esta información pulsando la tecla Enter o desde el menú del visor de sucesos.
Podemos gestionar algunas configuraciones sobre estos tres archivos de sucesos, como el tamaño
máximo que queremos que tengan, o establecer un tiempo de caducidad. Para ello, hay que dar botón
derecho sobre Aplicación, Seguridad o Sistema en el panel de la izquierda y escoger la opción
Propiedades del menú contextual que aparecerá. Desde aquí, también podemos realizar otras
opciones como filtrar los sucesos o borrar los archivos.
Desde estas propiedades también indicaremos al sistema la forma en la que queremos que se
comporte cuando los registros lleguen a su tamaño máximo permitido. Hay que tener mucho cuidado
con esta opción, ya que si estos archivos llegan a su tamaño máximo y le indicamos al sistema que no
puede borrarlos, el sistema no permitirá que inicie sesión ningún usuario en nuestro sistema, a
excepción del Administrador.
Auditando sucesos.
Hemos visto anteriormente como podemos ver los sucesos que se producen en el sistema, pero la
principal utilidad del visor de sucesos es la de auditar nuestros propios sucesos. Existe la
posibilidad de añadir a esas listas de auditoria, una serie de sucesos que nosotros establezcamos.
Esto se conoce como establecer auditorias sobre dispositivos.
Habremos comprobado anteriormente, que el archivo de sucesos seguridad no tiene ninguna
entrada. Este archivo se reserva para las auditorias que nosotros establezcamos. Para comenzar a
utilizar estas auditorias de seguridad:
Directiva es un conjunto de reglas que controlan el medio de trabajo de las cuentas de usuarios y
cuentas de equipo.
Aquí veremos los posibles sucesos que podemos auditar. Por cada suceso, podemos habilitar que se
auditen tanto los intentos correctos como los erróneos.
Por ejemplo, para que nuestro sistema audite los inicios de sesión basta que activemos desde
SECPOL.MSC – Directivas locales – Directivas de Auditorias – Auditar sucesos de inicio de sesión
de cuenta – Correctos. De este modo, cada vez que un usuario inicie sesión en nuestro sistema se
crearán varios sucesos en el registro de seguridad de sucesos. (Si marcamos ambos sucesos, los
erróneos y los correctos, es normal que se nos produzcan en muchas ocasiones ambos).
La opción que nos aparece en la configuración de seguridad local sobre el acceso a objetos, nos va a
permitir auditar el acceso a cualquier objeto del sistema que deseemos. Para comprobarlo, activar
Ahora, creamos una carpeta con nombre VIGILAR por ejemplo, en el systemdrive. Si accedemos a
las propiedades de dicha carpeta, pestaña Seguridad – Opciones Avanzadas, (el mismo sitio desde
donde cambiábamos la herencia de los objetos) veremos que también tenemos aquí una pestaña
Auditoria. En dicha opción de auditoria, podemos indicar si queremos auditar el acceso a este
recurso u objeto, e incluso indicar a que usuarios queremos auditar. Para nuestro ejemplo, vamos a
insertar en la lista de usuarios de la Auditoria de la carpeta VIGILAR al meta grupo TODOS. (Con
lo que auditaremos los accesos a dicha carpeta para todos los usuarios de nuestro sistema).
Cuando hagamos esto, veremos que nos aparece un nuevo formulario, en el que podemos indicar que
tipo de acceso queremos auditar para el usuario TODOS en la carpeta VIGILAR.
Un servicio es un programa especializado que normalmente desarrolla una función de soporte para
otros programas y que corre en segundo plano o Background.
Muchos servicios operan a niveles muy bajos (interactuando
directamente con el hardware, por ejemplo); por esta razón,
suelen ejecutarse directamente por la cuenta de Sistema
(una cuenta automática que usa nuestro sistema para ejecutar
aplicaciones con privilegios totales), en lugar de ejecutarse
desde la cuenta de un usuario particular. Existen muchos
servicios que se ejecutan en Windows, veamos como podemos
verlos, iniciarlos, pararlos, añadir servicios y en general,
configurarlos.
De momento, si pulsamos Control – Alt. – Suprimir (para
acceder al Administrador de Tareas) y accedemos a los
procesos que actualmente están corriendo en nuestro
sistema, veremos como se están ejecutando gran cantidad de ellos. La mayoría de dichos procesos
son servicios, que se ponen en marcha al iniciar el sistema y solo detiene cuando vayamos a apagar el
sistema.
Esta consola de servicios, ofrece mucha información sobre cada uno de los servicios que
actualmente se están usando. Desde esta consola podemos parar, iniciar, detener y reiniciar
cualquier servicio. Para ello, basta con dar botón derecho sobre un servicio y escoger la opción
deseada desde el menú contextual que aparece.
La mayoría de los servicios son iniciados automáticamente cuando iniciamos el sistema (aunque
ningún usuario haya iniciado sesión), y son parados cuando le indicamos al sistema que se cierre. Sin
embargo, algunas veces nos podemos ver forzados a parar o iniciar manualmente algún servicio. No
todos los servicios permiten que los iniciemos o paremos manualmente, esto suele ser debido a que
existen servicios que dependen de otros servicios.
Otra manera de iniciar o detener un servicio, es utilizar los comandos NET START y NET STOP
desde el símbolo de sistema. El modo de usar estos comandos es NET START/STOP nombre del
servicio.
Desde la pestaña Iniciar sesión, podemos indicar que el servicio se inicie desde una cuenta de
usuario y no desde la cuenta del sistema. En caso de usar esta opción, debemos asegurarnos de que
el usuario indicado tiene derecho para iniciar dicho servicio.
Desde la pestaña recuperación, podemos indicar que queremos que se realice si dicho servicio deja
de funcionar. (Que re reinicie automáticamente el servicio, que se reinicie todo el sistema, que lo
deshabilite, que se ejecute un programa determinado, etc.).
La ultima pestaña, de Dependencias, nos indica si este servicio depende de otro, de modo que
podamos ver la jerarquía de servicios, y sepamos que ocurrirá si paramos dicho servicio.
Hay que tener en cuenta, que los nombres de servicios que vemos desde esta consola, no se
corresponden normalmente con los nombres de los servicios que vemos desde el administrador de
tareas de Windows (pulsando Control – Alt. – Suprimir).).
También podemos gestionar los servicios desde el símbolo del sistema, mediante las órdenes NET
START, NET STOP, NET PAUSE y NET CONTINUE.
Como ejemplo, para que la orden NET SEND mensaje funcione, debemos tener activo el servicio
MENSAJERO. Podemos activar dicho servicio desde la consola de servicios o directamente con la
orden NET START MENSAJERO. De igual modo, podemos pararlo desde la consola o con NET
STOP MENSAJERO. (Probad como funciona dicho NET SEND) ;-)
Hay que tener en cuenta que si dicho
servicio lo dejamos en manual, tendremos
que iniciarlo siempre cada vez que
iniciemos sesión en la maquina. Sin
embargo, si lo dejamos en automático, el
servicio siempre estará activo, aunque no
haya ningún usuario usando nuestra
maquina mediante una sesión abierta.
Existen determinados programas, como
puede el ICS (Conexión compartida a
Internet) que corren como servicios
automáticos. Esto permite, que baste con
encender nuestro equipo para que dichos
programas funcionen, sin que sea
necesario que abramos ninguna sesión en
la maquina.
Hay que tener mucho cuidado al parar
servicios, ya que muchos de ellos son
imprescindibles para el funcionamiento del
sistema. Sin embargo, en muchos casos es conveniente parar sistemas que sepamos que no son
imprescindibles, bien para ganar rendimiento o para solucionar problemas.
Por ejemplo, si tenemos una cola de impresión que se niega a vaciarse, podemos parar un momento
el servicio de cola de impresión, para iniciarlo posteriormente, con lo que vaciaremos toda la cola de
impresión.