Comment manipuler la base de registre Windows

Au coeur du système, le registre Windows contient toutes les données relatives aux paramétrages matériels et logiciels de l'OS. Une base qu'il est possible de modifier sans grande difficulté, en prenant certaines précautions.

La base de registre est constituée de deux fichiers nommés USER.DAT et SYSTEM.DAT, qui se construisent à chaque démarrage par le système et se placent dans le répertoire Windows/System32/config. Certaines informations du registre sont stockées sur le disque, et sont considérées comme permanentes, tandis que d'autres sont stockées dans des clés volatiles et remplacées à chaque démarrage du système d'exploitation. Les données sont enregistrées dans des formats différents.  

Pour accéder au registre, il faut saisir la commande regedit dans démarrer/exécuter. Le registre est constitué de 5 grands dossiers contenant des clés, des sous-clés et des rubriques valuées.

 HKEY_CLASSES_ROOT contient les paramètres les plus importants des programmes. Il gère les extensions des noms de fichiers, les liaisons avec les logiciels ainsi que les serveurs ActiveX, les composants communs de Windows, les contrôles complémentaires. Il faut éviter de les modifier manuellement.

 

 HKEY_LOCAL_MACHINE : il s'agit des paramètres de l'ordinateur (profils utilisateurs, composants matériels, configuration réseau, paramètres de sécurité et système). Ne pas le modifier manuellement.

 

 HKEY_USERS contient tous les profils utilisateurs chargés activement.

 

 HKEY_CURRENT_CONFIG supporte la configuration actuelle. Il est préférable de ne rien modifier.
 

 HKEY_CURRENT_USER : contient les paramètres propres à l'utilisateur : apparence, curseur de la souris...Il est lié à HKEY_USERS. Il est possible de modifier certains éléments, par exemple effacer les clés restantes d'un programme désinstallé.

 

Une manipulation utile et sans danger, est de faire une copie du registre : Fichier>exporter. Elle sera utile en cas d'attaque de la base de registre, ou d'erreur de modification. Dans la rubrique Etendue de l'exportation, sélectionner tout. Il est conseillé de toujours avoir une copie récente. Pour enregistrer certains éléments séparément, choisir Branche sélectionnée dans la rubrique Etendue de l'exportation. L'exportation se fait sous la forme d'un fichier dont l'extension est .reg.

 

Pour travailler régulièrement sur la même clé sans avoir à la rechercher à chaque fois, sélectionner dans le menu Favoris>Ajouter aux favoris.

 

L'accès au registre peut être sécurisé en cliquant sur Edition>Autorisations. Dans Paramètres avancés, attribuer les droits aux utilisateurs dans l'onglet Autorisations. L'onglet Audit permet de mettre une surveillance sur un utilisateur. L'observateur d'évènement fournit ensuite la liste des accès. Il se trouve dans Panneau de configuration/Outils d'administration/Gestion de l'ordinateur/

Observateurs d'évènements. Cliquer sur le journal Sécurité.

 

Chaque clé est éditable et modifiable. Elle correspond à un événement et contient une valeur. Redémarrer Windows après chaque modification est nécessaire et permet de vérifier si le système fonctionne toujours normalement. Attention, ces manipulations sont réservées à des utilisateurs experts. De mauvaises modifications peuvent mettre en péril l'ensemble du système. 

 

Par exemple, pour supprimer l'icône volume dans la barre des tâches, ouvrir la clé HKEY_CURRENT_USER/Software/Microsoft/Windows/Currentversion/

Applets/SysTray.

Elle contient le code suivant :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV

ersionAppletsSysTray]
"Services"=dword:0000001f

Modifier la valeur de Services en la remplaçant par dword:0000001b

 

Pour désactiver le centre de sécurité Windows, ouvrir la clé HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/wscsvc

Dans le code :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]
"Start"=dword:00000002

Modifier la valeur Start par dword:00000004. Pour passer en mode manuel, mettre la valeur dword:00000003.

 

Pour modifier le message "Ne communiquez jamais votre mot de passe ou votre numéro de carte bancaire dans une conversation sur messagerie instantanée" qui apparaît à l'ouverture d'une fenêtre de discussion sous Windows Messenger, modifier la clé : HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/

MessengerService/Policie.

Le message est à modifier dans le code :

Windows Registry Editor Version 5.00
[+HKEY_LOCAL_MACHINESOFTWAREMicrosoftMessenger

ServicePolicieIMWarning] @="ici le message affiché dans Windows Messenger"