Mit der Registry arbeiten

Windows Registry Tutorial

Mit der Powershell die Windows Registry administrieren

Mithilfe der Powershell ist das Einsehen und Bearbeiten der Registry recht einfach. In dieser Doku zeige ich einige Beispiele, wie wir zu definierten Hives gelangen, und die gesetzten Werte auslesen bzw. verändern.

Fangen wir damit an, dass wir uns zuerst die beiden wichtigsten Pfade ansehen.  Das sind die Pfade HKEY_LOCAL_MACHINE (HKLM) und HKEY_CURRENT_USER (HKCU). Navigiert wird in der Registry ähnlich wie im Windows Explorer.

Windows Registry Tutorial

Registry-KeyDateipfadZweck
HKCUC:\Users\\ntuser.datBenutzerspezifische Daten und Einstellungen
HKCU\Software\ClassesC:\Users\\AppData\Local\Microsoft\
Windows\usrClass.dat
Benutzerspezifische Dateitypen und COM-Klassen
HKLM\BCD00000000[Boot-Partition]\Boot\BCDBoot-Konfiguration
HKLM\BCD00000000[UEFI-Partition]\EFI\Microsoft\Boot\BCDBoot-Konfiguration
HKLM\HARDWAREWird zur Laufzeit dynamisch erzeugtInformationen zu angeschlossener Hardware
HKLM\SAMC:\Windows\System32\config\SAM„Security Accounts Manager“: Anmeldenamen,Kennwort-Hashes etc.
HKLM\SECURITYC:\Windows\System32\config\SECURITYSicherheitsrichtlinien und Benutzerrechte
HKLM\SOFTWAREC:\Windows\System32\config\SOFTWARESystemweit geltende Daten und Einstellungen
HKLM\SYSTEMC:\Windows\System32\config\SYSTEMKonfiguration von Treibern und Diensten
HKU\.DEFAULTC:\Windows\System32\config\DEFAULTDaten und Einstellungen des Kontos „Lokales System“
HKU\S-1-5-18C:\Windows\System32\config\DEFAULTDaten und Einstellungen des Kontos „Lokales System“
HKU\S-1-5-19C:\Windows\ServiceProfiles\LocalService\ntuser.datDaten und Einstellungen des Kontos „Lokaler Dienst“
HKU\S-1-5-20C:\Windows\ServiceProfiles\NetworkService\ntuser.datDaten und Einstellungen des Kontos „Netzwerkdienst“

Windows Registry Tutorial

Wir öffnen die Powershell mit administrativen Rechten und setzen folgende Befehle ab:

Mit der Registry arbeiten

Security für Windows 10 – Registry Hacks