Registry-Guide
Registry im Griff von Microsoft-Tools
Das Tool Regedit
Registry-Guide
Das in Windows eingebaute Registry-Tool Regedit kann nicht besonders viel. Doch für den Hausgebrauch reichen die Funktionen aus, und mit den richtigen Tipps klappen sogar erste Tuning-Maßnahmen. Über [Strg] + [F] können Sie die Suche über Schlüssel, Werte und Daten starten. Dabei springt Regedit aber immer nur zum nächsten gefundenen Sucheintrag, anstatt alle Einträge in einer Übersicht anzuzeigen. Eine Suche nach häufigen Einträgen wie »Explorer« ist auf diese Weise sehr mühsam. Da hilft es auch nicht viel, dass Sie mit [F3] zum nächsten gefundenen Eintrag springen können. Um die Suche aufzubohren, sind Zusatz-Tools nötig, etwa Reg Scanner.
Im Regedit-Menü können Sie über Datei Registry-Werte importieren und exportieren. Das ist zum einen nützlich, um die Registry zu sichern und im Fehlerfall wieder einzuspielen. Zum anderen kann man so auch einmal gemachte Einstellungen auf mehrere Windows-Installationen verteilen. Zur Wahl stehen zwei Formate: Registrierungsdateien (Endung .reg) und Registrierungsstrukturdateien (keine Dateiendung).
Der Hauptunterschied ist klein, kann aber entscheidend sind. Die Reg-Datei wird eingelesen und schreibt wirklich nur die enthaltenen Werte zurück. Werte, die schon in der Registry eingetragen sind, nicht aber in der Reg-Datei, bleiben unverändert. Bei Strukturdateien dagegen wird wirklich die komplette Registry durch die Import-Werte ersetzt. Weiterer Vorteil bei Strukturdateien: Sie lassen sich zusätzlich zur Überprüfung in die Registry laden (Datei/Struktur laden).
Registry per Netzwerk anpassen
Registry-Guide
Mit der Option Mit Netzwerkregistrierung verbinden können Sie bei XP Pro die Registry eines anderen Rechners (HKLM und HKU) in Regedit einblenden lassen. Möglich macht das der Windows-Hintergrunddienst Remote-Registrierung, der in der Standard-Einstellung automatisch mit dem System hochfährt. Dieser Dienst wird unter anderem auch benötigt, um Netzwerk-Drucker anzusprechen. Die Rechner müssen sich in der gleichen Arbeitsgruppe oder Domäne befinden. Die Anzeige der Registry-Zweige sollte ohne zusätzliche Einstellungen klappen, nicht jedoch der Vollzugriff.
Der Zugriff funktioniert ohne Zusatzarbeiten in einer Domäne, da die Domänen-Administratoren auch gleichzeitig Mitglieder der lokalen Admin-Gruppe sind. In der Arbeitsgruppe müssen Sie an den Remote-PCs noch Einstellungen vornehmen, damit der entfernte Zugriff für einzelne Benutzer erlaubt wird. Das geht natürlich auch über einen Registry-Kniff. Unter dem Pfad HKLM\SYSTEM\
CurrentControlSet\Control\SecurePipeServers\winreg müssen Sie über Berechtigungen Netzwerknutzern den Vollzugriff gestatten. Doch Vorsicht: Wird ein Rechner im Netz von einem Wurm befallen, der den Remote-Zugriff nutzt, dann sind im Handumdrehen alle Rechner gefährdet.
Zugriffe für Schlüssel kontrollieren
Registry-Guide
Wenn Sie Vollzugriff auf einen Registrierungsschlüssel haben oder einen Schlüssel besitzen, können Sie die Zugriffsberechtigungen für Benutzer und Gruppen in der Zugriffssteuerungsliste bearbeiten.
Zuerst klicken Sie auf den Schlüssel, dessen Berechtigungen Sie ändern wollen, und wählen über das Kontextmenü Berechtigungen aus. Anschließend markieren Sie in der Liste Gruppen- oder Benutzernamen den Benutzer oder die Gruppe, für die Sie Berechtigungen bearbeiten möchten. Danach aktivieren Sie in den Spalten Zulassen oder Verweigern die entsprechenden Kontrollkästchen. Dort können Sie Vollzugriff, Lesen oder spezielle Berechtigungen auswählen. Ausgeblendete Kontrollkästchen weisen darauf hin, dass die Berechtigung von einem übergeordneten Schlüssel übernommen wird.
Installationen überwachen
Registry-Guide
Programme, die mit einem Microsoft-Installer-Paket ausgestattet sind, überwacht das Kommandozeilen-Tool Msiexec. Starten Sie es über die Windows-Shell. Das geht mit dem Befehl msiexec /I Programm.msi /L C:\protokoll.log, dann installiert der Befehl das Programm (/I) und protokolliert alle Systemveränderungen in protokoll.log (/L).
Legen Sie Ihre Windows-XP-CD ein, öffnen Sie über Start/Ausführen/cmd eine Shell und wechseln Sie dort in den Ordner Support/ Tools auf der CD. Tippen Sie jetzt den Befehl msiexec /l SUPTOOLS.MSI /L C:\protokoll.log ein. Der Installer startet und protokolliert sein Vorgehen in die angegebene Datei. Sie sehen die angelegten Registry-Werte und die veränderten Verzeichnisse im Log-File. Mit der Option /L*v werden sämtliche Veränderungen auf dem System mitgeschrieben. Doch Vorsicht: Dies führt mitunter zu recht umfangreichen Log-Files.
Mit dem Tool Msicuu können Sie solche Installationen rückstandsfrei wieder entfernen. Gehen Sie über Start/Ausführen/msicuu.exe und wählen Sie aus dem Fenster die Komponente aus, die Sie entfernen möchten. Sie wird samt den gemachten Registry-Einträgen entfernt.
MS-Tool überwacht Installationen
Registry-Guide
Gezielt lässt sich die Registry auch mit Windiff beobachten, einem kostenlosen Microsoft-Tool, das auch in den Support-Tools enthalten ist. Wenn Sie etwa kontrollieren wollen, was Microsoft bei einer Installation alles an der Registry ändert, exportieren Sie den Schlüssel HKLM\Software\Microsoft mit Regedit.
Installieren Sie anschließend das Update und exportieren Sie dann den Schlüssel noch einmal in eine zweite Datei. Der Befehl windiff datei1.reg datei2.reg vergleicht dann die beiden Dateien. Die Unterschiede sind farblich markiert.
Registry mit Windows überwachen
Registry-Guide
Die Überwachung von Zugriffen auf die Registry ist eine gute Methode, um den Zugriff auf sensible Einstellungen zu kontrollieren. Das funktioniert mit Hilfe der in Windows integrierten Überwachungsrichtlinien. Die Überwachungsrichtlinien aktivieren Sie über den Pfad Verwaltung/Lokale Sicherheitsrichtlinie, indem Sie dort im linken Teilfenster unter Lokale Richtlinien auf Überwachungsrichtlinien klicken. Nach einem Doppelklick im rechten Teilfenster auf Objektzugriffsversuche überwachen, die Kontrollkästchen Erfolgreich und Fehlgeschlagen aktivieren.
Werden Erfolge überwacht, dann wird ein Überwachungseintrag generiert, sobald ein Benutzer erfolgreich auf ein entsprechendes Objekt, für das eine SACL (System Access Control List) angegeben wurde, zugreift. Beim Überwachen von Fehlern wird dagegen ein Überwachungseintrag generiert, sobald ein Benutzer ohne Erfolg auf ein Objekt zuzugreifen versucht.
Fehlerhafte Einträge entfernen
Registry-Guide
Zahlreiche frei erhältliche, aber auch professionelle Tools spüren unbrauchbare Einträge in der Registry auf und entfernen sie. Sehr zuverlässig arbeitet hier das als Freeware erhältliche Microsoft-Programm Reg Clean (PCP-Code: REGCLEAN). Laden Sie das Programm und entpacken Sie es. Anschließend geht alles ganz schnell.
Schritt 1: Die Software starten, um die Registry nach fehlerhaften Einträgen zu durchsuchen. Nach Abschluss der Prüfung bietet Reg Clean das Entfernen der fehlerhaften Einträge an.
Schritt 2: Klicken Sie auf die Schaltfläche Fix Errors, um die Registry zu bereinigen. Reg Clean erzeugt automatisch eine Sicherungskopie der aktuellen Registry in dem Ordner, in dem auch die Software selbst liegt.
Im Notfall kann man darauf zurückgreifen, indem man die Registry aufruft und über das Menü Datei die Funktion Importieren wählt. Anschließend die Sicherungskopie wählen, die mit dem Namen des Computers beginnt. Eine Alternative ist die Freeware Reg Cleaner (PCP-Code: RCLEANER). Diese entfernt auch überflüssige Autostart-Einträge, Dateitypen sowie Shell-Erweiterungen und DLL-Dateien und bereinigt die Software-Uninstall-Liste in der Systemsteu
erung.
Regmon erkennt unbefugte Zugriffe
Registry-Guide
Das Tool Regmon (PCP-Code: REGMON, www.sysinternals.com) zeichnet alle Zugriffe auf die Registry auf. Es zeigt in Echtzeit an, welche Registry-Schlüssel gerade von Windows benutzt werden, welche Programme die Registry gerade anzapfen und welche Daten in die Registry geschrieben sowie ausgelesen werden. Bei jedem Zugriff von Windows oder Programmen auf die Registry fügt Regmon dem Fenster eine Zeile hinzu.
Die ersten beiden Spalten enthalten die Zeilennummer und die Uhrzeit. Die nächste Spalte zeigt den Namen des Prozesses an, der auf die Registry zugreift, normalerweise der Dateiname des Programms. Eine Spalte weiter finden Sie die Zugriffsart, gefolgt von dem Pfad und dem Ergebnis. In der letzten Spalte stehen zusätzliche Informationen, zum Beispiel der Inhalt eines Wertes.
Die wichtigste Funktion in Regmon ist jedoch der Filter, um die Übersicht zu behalten, sprich die angzeigten Einträge auf ein Programm einzuschränken. Sie erreichen ihn über den Menübefehl Options/Filter/Highlight oder das Trichter-Icon. Im Textfeld Include geben Sie an, welche Zugriffe überwacht werden sollen. Beim ersten Programmstart steht hier ein Sternchen (*), was bedeutet, dass alle Zugriffsversuche protokolliert werden. Wenn Sie beispielsweise den Filterausdruck ACCDENIED eingeben, erhalten Sie nur Zugriffsversuche, die vom System wegen mangelnder Berechtigungen abgelehnt wurden. Geben Sie firefox.exe ein, dann sehen Sie nur die Zugriffe des alternativen Browsers.
Regmon zeigt alle Veränderungen in der Registry
Registry-Guide
Über das Textfeld Exclude können Sie umgekehrt bestimmte Registrierungspfade, Prozesse oder Resultate aus der Protokollierung ausschließen, die ständig Registry-Zugriffe verursachen. Dazu zählt zum Beispiel svchost.exe, ein allgemeiner Hostprozessname für Dienste, die mit Hilfe von Systemdateien ausgeführt werden. Da unter Windows die verschiedensten Dienste parallel laufen, können auch mehrere Instanzen der svchost. exe gleichzeitig in der Prozessliste auftauchen. Mit den Kontrollkästchen Log Opens, Log Reads, Log Successes und Log Errors geben Sie an, welche Zugriffsarten berücksichtigt werden.
Wichtige Ereignisse wie SetValue, das Ändern eines Registry-Wertes, lassen sich mit Regmon im Textfeld Highlight farbig hervorheben. Wer einen Eintrag genauer kontrollieren möchte, markiert ihn im Protokoll und drückt anschließend die Tastenkombination [Strg]+ [J]. Danach öffnet sich der Registry-Editor genau an dieser Stelle in der Registry. Im Gegensatz zum Ereignisprotokoll von Windows XP, das nur die wichtigsten Systemereignisse und Fehler aufzeichnet, zeigt Regmon alle Veränderungen der Registry.