C programdata windows reg1 reg

Читатели спрашивают: «Зачем нужен реестр, надо ли его чистить, как создать резервную копию и восстановить ОС до рабочего состояния?»

Почему возникают ошибки в реестре

Является базой данных параметров, в том числе системных и программных. Изменения, в том числе и нежелательные, вносятся в базу следующими событиями в ОС:

• установкой ПО;
• применением софта для тонкой настройки;
• программным обеспечением для чистки и оптимизации, которое не рекомендую использовать без крайней необходимости.

Последствия — вплоть до полной потери системой работоспособности.

Рекомендую сохранять состояние реестра перед каждым внесением изменений в ОС. Речь об установке софта, в особенности нового и незнакомого пользователю, игр и тонких настройках.

Несколько минут затраченного времени и полезная привычка сохранять «снимок» работоспособного состояния параметров сэкономит время и силы. С немалой вероятностью позволит обойтись без полной переустановки ОС.

Рекомендации наиболее актуальны для пользователей, которые часто ставят новый софт.

Систематическое создание копий реестра в процессе считаю нужной составляющей работы с ПК — необходимым рутинным действием. Но возвращаться к ранее сохраненному состоянию без необходимости не рекомендую. Единственная весомая причина для внесения изменений в реестр — неработоспособность ОС или сбои.

«Десятка» — постоянно обновляемая система нового поколения. Не нуждается в постоянном ручном обслуживании сверх необходимого. Поскольку с момента создания копии в базу параметров вносились изменения, результат возврата к старым может быть непредсказуемым.

Автоматически ОС больше не сохраняет

Ранее система создавала резервные копии автоматически. Начиная с версии 1803 — прекратила. Подход в интернете критикуют, но он скорее разумен, поскольку копия входит в точку восстановления. Необходимости в дублировании действия нет.

Позволяет сэкономить место на диске. Предотвращает ситуацию, при которой не хватает места для обновлений ОС.

Точки восстановления

Создаются в ОС автоматически или вручную. Точка восстановления содержит также и резервную копию системного реестра. При необходимости запускается в работоспособной или частично сохраняющей работоспособность ОС. Возможно использование в ситуациях, когда система отказывается запускаться. Для этого применяется среда восстановления.

Копирование в редакторе реестра

Откройте редактор реестра. Для этого нажмите одновременно клавиши Win и R, затем введите:

regedit

Доступ к необходимой опции — через строку меню или контекстное меню. Располагается в верхней части окна редактора реестра.

Рассматриваю два способа экспорта базы данных. В обоих случаях выполняется в два шага.

Первый:

1. Откройте пункт текстового меню «Файл».
2. В нем — подпункт экспорта данных.

Картинка с сайта: poznyaev.ru

Второй:

1. Кликните правой кнопкой мыши по надписи «Компьютер». Откроется контекстное меню.
2. Нужный пункт в нем — «Экспортировать».

Картинка с сайта: poznyaev.ru

Результатом рассмотренных действий станет файл. Его расширение — «.reg»

Кликните по нему для того, чтобы вернуть реестр в состояние, актуальное на момент создания резервной копии. Помните, что действие имеет смысл в том случае, если состояние ОС на момент создания копии рассматривается пользователем как приемлемое.

Методу свойственны определенные недостатки. В их числе:

• невозможность применить, если ОС неработоспособна;
• параметры вернутся в состояние на момент формирования копии, но те, которые появились позже останутся неизменными;
• в случае, когда определенные ветви реестра используются, не исключены ошибки переноса значений в реестр.

Отсюда следует необходимость скопировать вручную главные файлы, содержащие данные системного реестра. Периодически сохраняйте на флешке, внешнем HDD или SSD файлы:

• DEFAULT;
• SAM;
• SECURITY;
• SOFTWARE;
• SYSTEM.

Картинка с сайта: poznyaev.ru

Чтобы получить к ним доступ, перейдите в файловом менеджере в каталог:

Windows\System32\Config

Для восстановления реестра до состояния на момент копирования файлов замените сохраненными актуальные версии указанных выше файлов.

Как делать копии разделов реестра Windows в командной строке

Откройте командную строку с повышенными привилегиями. Нажмите клавиши Win + X одновременно, чтобы запустить меню опытного пользователя Windows. Выберите из списка пункт «Командная строка» (администратор).

Картинка с сайта: poznyaev.ru

В Windows предусмотрена программа reg.exe, которая позволяет управлять реестром операционной системы из командной строки (Command Prompt). Используем ее для создания копий разделов реестра. Общий синтаксис команды:

reg export [ключ реестра] [имя файла]

Перед сохранением копии раздела реестра рекомендуем создать на диске папку, где будут храниться файлы такого рода. В данном случае: каталог RegBackup в корне диска C:. Вы также можете использовать уже существующую на диске вашего компьютера папку. Рассмотрим на конкретном примере. Экспортируем «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» в файл reg1.reg. Введите команду:

reg export «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management» C:\RegBackup\reg1.reg

Обратите внимание, что ключ заключен в кавычки. Это необходимо, потому что в имени ключа используется проблел.

Картинка с сайта: poznyaev.ru

Итогом выполнения команды станет создание файла reg1.reg, который может быть использован для восстановления работоспособного состояния ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management. Созданный файл находится в папке C:\RegBackup. Чтобы восстановить состояние раздела на момент создания копии, дважды кликните мышью по файлу reg1.reg и нажмите кнопку «Да» в новом окне, которое предложит внести изменения в реестр Windows.

Картинка с сайта: poznyaev.ru

В каждом случае заменяйте [ключ реестра] на тот, копию которого вам необходимо сохранить. А имя файла на то, как должен называться итоговый файл, который будет хранить данные для восстановления выбранного ключа. Рекомендуем перед внесением изменений в реестр Windows создавать копии тех разделов, которые будут затронуты правками. Если что-то пойдет не так, вы легко сможете вернуть раздел в исходное состояние.

Сторонний софт — не лучший, но порой единственный выход

При малейшей возможности предпочитаю использовать для настройки и обслуживания ОС ее встроенные инструменты. Тем не менее, понимаю, не всегда реально. Сторонние программы зачастую решают задачу заметно быстрее и элегантнее.

Побочный эффект — пользователь рискует. Вопрос доверия разработчику софта. И решение здесь каждый принимает для себя сам. Подсказываю хорошо зарекомендовавшие себя инструменты. Не означает, что они помогут в каждой ситуации.

RegBak

Инструмент с простейшим интерфейсом. Сводит сложную задачу к одному действию. Удобен в случае, когда нужно приучить неподготовленного пользователя периодически создавать копии реестра.

Последовательность действий:

1. Нажал «New Backup».
2. Определил, в какой каталог сохранить копию.
3. Добавил описание.
4. Щелкнул «Start».

Картинка с сайта: poznyaev.ru

ERUNTgui

На веб-сайте разработчика предлагаются две версии. Первая — установочный файл. Вторая — Portable, установка не требуется. Только для быстрого сохранения копии реестра. Опция оптимизации предусмотрена, применять не советую.

Для создания и сохранения файла параметров реестра щелкнул по «Backup the Registry». Процесс автоматизирован. Единственное, что доступно пользователю — поменять каталог, в который сохраняются файлы. Когда понадобилось указать другую папку для сохраняемых файлов, перешел в настройки утилиты — экранная кнопка Options в нижней части окна.

Картинка с сайта: poznyaev.ru

Подготовка к восстановлению реестра

Перед тем, как внести изменения в реестр путем возврата ранее сохраненных параметров, необходимо подготовить систему. Возможен сбой, причина которого — работающие процессы. Поэтому нужно выгрузить максимум софта.

Нажмите одновременно Alt, Ctrl и Del. Стартует Диспетчер задач, где надо завершить все процессы, в работе которых нет необходимости.

Рекомендую также создать точку восстановления ОС на случай, если процесс возврата к сохраненным параметрам завершится сбоем.

Три подхода к восстановлению реестра

Первый подход — через системную утилиту

• Вернитесь в Редактор реестра.
• Щелкните по подпункту «Импорт» пункта «Файл». Он первый в текстовой строке меню, которая располагается в верхней части окна утилиты.
• В открывшемся окне укажите путь к файлу, в который ранее были экспортированы параметры. Щелкните по значку файла.

Второй подход — из файлового менеджера

• В Проводнике или другом файловом менеджере дважды щелкните на сохраненном файле с расширением «.reg»
• Операционная система предупредит о том, что дальнейшие действия могут привести к неработоспособности компонентов. Обратите внимание на рекомендацию не добавлять в реестр данные, которые получены из источника, который не заслуживает доверия. Проще — применяйте только те копии реестра, которые сохранили сами на своем ПК в момент, когда ОС работала полностью корректно. Не используйте загруженные из интернета файлы.
• Для подтверждения внесения изменений нажмите «Да». При малейшем сомнении — «Нет».
• По завершении ПК нужно перезагрузить.

Третий подход — слияние данных

Откройте контекстное меню сохраненного файла правым щелчком мыши по нему. Необходимый пункт — «Слияние». ПК необходима перезагрузка.

Картинка с сайта: poznyaev.ru

«Блогом системного администратора» рассмотрена клавиатура для опытных ИТ-шников, которые не тратят время на пустяки. Подсказал, что делать, когда обновление «десятки» не установилось.

Нужны ли отдельные копии реестра или точек восстановления достаточно, как считаете?

В этой статье показаны действия, с помощью которых можно выполнить запуск редактора реестра, создать и применить reg-файл в операционной системе Windows 10 и 8.1.

Как открыть редактор реестра

Открыть редактор реестра очень просто, выбирайте любой из способов.

Открытие реестра через окно «Выполнить»

Нажмите сочетание клавиш Win + R

В открывшемся окне Выполнить введите команду regedit и нажмите кнопку ОК.

Картинка с сайта: winnote.ru

Если вы работаете под учетной записью администратора, то при отключенном UAC (контроле учетных записей) программа запустится с правами администратора.

В реестр через горячие клавиши

Нажмите сочетание клавиш Win + S

В боковой панели, в строке поиска введите regedit и в результатах поисковой выдачи, щелкните правой кнопкой мыши на regedit.exe и в появившемся контекстном меню выберите пункт Запуск от имени администратора.

Картинка с сайта: winnote.ru

Другой вариант: нажмите сочетание клавиш Win + X и появившемся контекстном меню выберите пункт Командная строка (администратор)

Картинка с сайта: winnote.ru

В окне Администратор: Командная строка введите команду regedit и нажмите клавишу Enter ↵.

Картинка с сайта: winnote.ru

Открытие редактора реестра через Проводник

Откройте в Проводнике папку C:\\Windows.

Щелкните правой кнопкой мыши по файлу regedit.exe и в появившемся контекстном меню выберите пункт Запуск от имени администратора.

Картинка с сайта: winnote.ru

Создание reg-файла с помощью текстового редактора в Windows 10

Первое что нужно сделать, это включить отображение расширений для файлов, по умолчанию операционная система Windows не отображает расширения файлов. Для этого откройте Панель управления, установите в выпадающем списке Просмотр: Мелкие значки и выберите пункт Параметры проводника.

Картинка с сайта: winnote.ru

В окне Параметры папок, которое будет открыто, перейдите ко вкладке Вид и уберите флажок с пункта «Скрывать расширения для зарегистрированных типов файлов», затем нажмите кнопку OK.

Теперь можно приступать непосредственно к созданию reg-файла. Для этого щелкните ПКМ в любой свободной части рабочего стола и в появившемся контекстном меню выберите действие Создать → Текстовый документ.

Картинка с сайта: winnote.ru

Откройте только что созданный документ (по умолчанию будет открыт в программе Блокнот), скопируйте и вставьте необходимый вам код в окно программы.

Картинка с сайта: winnote.ru

В меню Файл выберите «Сохранить как…» (CTRL+Shift+S). В выпадающем списке «Тип файла» обязательно установите «Все файлы», укажите место сохранения, а также в имени файла укажите расширение .reg. Нажмите кнопку Сохранить.

Картинка с сайта: winnote.ru

После того как файл будет сохранен вы можете добавить его содержимое в реестр. Дважды щелкните по нему ЛКМ и подтвердите ваше намерение внести изменения в реестр нажав на кнопку «Да».

Картинка с сайта: winnote.ru

Создание reg-файла в Windows 8.1

Включить отображение расширений для файлов в операционной системе Windows 8.1 можно также через Панель управления. В раскрывающемся списке Просмотр: установите Мелкие значки и перейдите к пункту Параметры папок.

Картинка с сайта: winnote.ru

В открывшемся окне Параметры папок перейдите на вкладку Вид и уберите флажок возле пункта Скрывать расширения для зарегистрированных типов файлов и нажмите кнопку OK.

Для того чтобы создать reg-файл, щелкните правой кнопкой мыши на рабочем столе и в появившемся контекстном меню выберите Создать ► Текстовый документ.

Картинка с сайта: winnote.ru

Откройте созданный текстовый документ (по умолчанию текстовые документы открываются в программе Блокнот), скопируйте необходимый вам код в окно программы.

Сохраните текстовый документ нажав сочетание клавиш Ctrl + S, закройте окно.

Картинка с сайта: winnote.ru

Далее переименуйте текстовый документ, измените при этом расширение файла вместо .txt укажите .reg, например Demo.reg.

При этом система предупредит вас о том что файл может оказаться недоступным, нажмите кнопку Да.

Картинка с сайта: winnote.ru

Файл реестра (reg-файл) создан

Применение reg-файла

Для внесения изменений в реестр можно использовать несколько способов.

Щелкните два раза левой кнопкой мыши по reg-файлу.

В открывшемся окне нажмите кнопку Да.

Картинка с сайта: winnote.ru

В следующем окне нажмите кнопку ОК.

Картинка с сайта: winnote.ru

Другой вариант такой: щелкните правой кнопкой мыши на reg-файле и в появившемся контекстном меню выберите пункт Слияние.

В открывшемся окне нажмите кнопку Да.

Картинка с сайта: winnote.ru

В следующем окне нажмите кнопку ОК.

Картинка с сайта: winnote.ru

В третьем способе придётся использовать команду.

Нажмите сочетание клавиш Win + R и в открывшемся окне Выполнить введите команду такого вида:

regedit /s Путь_к_файлу\\Имя_файла.reg

Нажмите кнопку ОК.

Например:

regedit /s D:\\Demo.reg

Картинка с сайта: winnote.ru

Для применения многих reg-файлов необходимо, чтобы вы работали под учетной записью администратора и Контроль Учетных Записей (UAC) был отключен.

Ну и 4 вариант: нажмите сочетание клавиш Win + X и появившемся контекстном меню выберите пункт Командная строка (администратор):

В открывшемся окне введите команду такого вида:

regedit /s Путь_к_файлу\\имя_файла.reg

Нажмите клавишу Enter ↵.

Например:

regedit /s D:\\Demo.reg

Картинка с сайта: winnote.ru

Если в реестре уже присутствует параметр добавляемый reg-файлом, то при применении reg-файла, имеющиеся значения параметров будут заменены на новые.

Картинка с сайта: call4cloud.nl

This blog will show you the options you have when you need to deploy Hkey_Current_User (HKCU) Registry changes when you are blocking PowerShell!

1. Introduction

When you block PowerShell in the user context with Applocker, deploying HKCU registry changes or policies could be difficult! Why? because running a PowerShell script or a Proactive Remediation as the logged-in user will be blocked!

As shown below, you will notice the error 0x8004005 in your agentexecutor.log mentioning that the program is blocked by group policy.

Картинка с сайта: call4cloud.nl

So, how are we going to solve this issue? Sometimes, you really want to push a simple HKEY_Current_User (HKCU) setting that isn’t available in the Intune Settings Catalog or Administrative templates.

As an example: When you are using OneDrive, and you configured the settings to Automount team sites, and you want to speed things up a little bit

https://call4cloud.nl/2020/07/once-upon-a-time-in-the-automount-of-onedrive-team-sites

Normally, that is not a problem when you are NOT blocking PowerShell.The only thing you need to do is to configure the “Run this script using the logged-on credentials” option to “yes”

Картинка с сайта: call4cloud.nl

But in my opinion.. not blocking PowerShell for the non-admins is a no-go. It’s just my opinion but if you want to read more about this…

If you have read the blog above you will know why I prefer to block PowerShell. It’s because malware/cryptoware/privilege escalation uses most of the time Powershell. And a normal user.. does not need access to PowerShell (except for loading user scripts.…)

So how can you make sure a user always gets the registry keys necessary? We also need to beware of the fact, the TimerAutoMount key will be reset, when OneDrive has successfully mounted the Sharepoint sites. So we need to have a solution that changes this key for each logon or each hour

I will show you the options we have got:

2. Using Reg.exe

I know deploying a PowerShell script in Intune is very simple to do… this is a little bit different. This is the PowerShell script that needs to be run in the system context instead of the user context, which you normally do when you want to deploy an HKCU key.

Картинка с сайта: call4cloud.nl

PowerShell Script:

$content = @'
 Windows Registry Editor Version 5.00
 [HKEY_CURRENT_USER\Software\Microsoft\OneDrive]
 "Test"=dword:00000001
 '@

$path = $(Join-Path $env:ProgramData CustomScripts)
 if (!(Test-Path $path))
 {
 New-Item -Path $path -ItemType Directory -Force -Confirm:$false
 }
 Out-File -FilePath $(Join-Path $env:ProgramData CustomScripts\onedrive.reg) -Encoding unicode -Force -InputObject $content -Confirm:$false

$WshShell = New-Object -comObject WScript.Shell
 $Shortcut = $WshShell.CreateShortcut("$env:ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\config.lnk")
 $Shortcut.TargetPath = '"c:\windows\System32\reg.exe"'
 $Shortcut.Arguments = "import c:\programdata\CustomScripts\onedrive.reg"
 $Shortcut.WorkingDirectory = '"c:\programdata\CustomScripts\"'
 $Shortcut.Save()

As shown above, you can see I just make use of reg.exe to import the .reg file and create a shortcut to all user’s startup folders to make sure this reg file is imported on startup.

You can also create an intune-win installer to ensure this is done when the device is deployed to Azure AD for the first time.

Please note: You can’t change/add/remove a registry key in the HKEY_CURRENT_USER\Software\Policies path. It will not work, because it would be very weird if you could change the policies that have been applied as a regular user!

3. Using Remediations

A way better option than the reg.exe option would be to use Proactive remediations. So let’s do some magic with the use of ProActive remediations. If you want to see my other ideas with ProActive Remediations…

https://call4cloud.nl/category/proactive-remediations/

But how are we going to make sure we can read the TimerAutoMount key in the HKEY_Current_User registry section when running the remediations in a system context?

Картинка с сайта: call4cloud.nl

Because when we don’t know which user to look for… how are we going to change that setting? Here is how!

Detection Script:

New-PSDrive HKU Registry HKEY_USERS | out-null
$user = get-wmiobject -Class Win32_Computersystem | select Username;
$sid = (New-Object System.Security.Principal.NTAccount($user.UserName)).Translate([System.Security.Principal.SecurityIdentifier]).value;
$key = "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1"
$val = (Get-Item "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1");
$Timer = $val.GetValue("TimerAutoMount");

##################################
#Launch Timer Detection         #
##################################

if($Timer -ne 1)
{
    Write-Host "TimerAutoMount Needs to be changed!"
    Exit 1
}
else
{
    Write-Host "TimerAutoMount doesn't need to be changed"
    Exit 0
}

Remediation Script

New-PSDrive HKU Registry HKEY_USERS | out-null
$user = get-wmiobject -Class Win32_Computersystem | select Username;
$sid = (New-Object System.Security.Principal.NTAccount($user.UserName)).Translate([System.Security.Principal.SecurityIdentifier]).value;
$key = "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1"
$val = (Get-Item "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1") | out-null
$reg = Get-Itemproperty -Path $key -Name TimerAutoMount -erroraction 'silentlycontinue'

##################################
#Launch timer  detection       #
##################################

if(-not($reg))
	{
		Write-Host "Registry key didn't exist, creating it now"
                New-Itemproperty -path $Key -name "TimerAutoMount" -value "1"  -PropertyType "qword" | out-null
		exit 1
	} 
else
	{
 		Write-Host "Registry key changed to 1"
		Set-ItemProperty  -path $key -name "TimerAutomount" -value "1" | out-null
		Exit 0  
	}
 

Go open the ProActive Remediations and take a look at the outcome!

Картинка с сайта: call4cloud.nl

And yes, of course, it has been remediated!

Картинка с сайта: call4cloud.nl

Isn’t this cool? With this solution, you could change the user registry key each hour (when it’s not configured to 1).

Do you know what else is great? When you don’t want a policy to be targeted at the device (HKLM:\software\policies) maybe you could even change HKCU:\software\policies settings with this idea.

4. PowerShell Script

Another option to get the current logged-in Azure Ad user would be to query the User who is running Explorer.exe and convert that username to the well-known SID to change the registry values! To be sure I am getting the only correct username I am using a word boundary -match “\b$CurrentUser\b” to perform a search for “whole words only”

$currentUser = (Get-Process -IncludeUserName -Name explorer | Select-Object -First 1 | Select-Object -ExpandProperty UserName).Split("\")[1] 

$Data = $currentUser
$Keys = GCI "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\" -Recurse
Foreach($Key in $Keys){
    IF(($key.GetValueNames() | %{$key.GetValue($_)}) -match "\b$CurrentUser\b" ){$sid = $key}
}

$sid = $sid.pschildname

New-PSDrive HKU Registry HKEY_USERS | out-null
$key = "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1"
set-Itemproperty -path $Key -name "TimerAutoMount" -value "1" | out-null

If you don’t want to rely on who has the process explorer.exe opened or having multiple SIDs in the OUTPUT we could also call upon the registry to directly fetch the LastLoggedOnUserSID

$sid = (Get-ItemProperty -Path hklm:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI -Name LastLoggedOnUserSID).LastLoggedOnUserSID

New-PSDrive HKU Registry HKEY_USERS | out-null
$key = "HKU:\$sid\Software\Microsoft\OneDrive\Accounts\Business1"
set-Itemproperty -path $Key -name "TimerAutoMount" -value "1" | out-null

Conclusion:

Blocking Powershell is very important but it can put you in a difficult situation when you need to change some HKCU settings… Because it could be hard to apply the settings to the logged-in user and not to the system account!

Deploy one of these ideas and watch it pour down to the devices! Of course, you will know I prefer the proactive remediations—they are great!