REGISTROS DE WINDOWS - ANTIVIRUS
El registro de Windows es una base de datos jerárquica que almacena los ajustes de configuración y opciones en los sistemas operativos Microsoft Windows. Contiene la configuración de los componentes de bajo nivel del sistema operativo, así como de las aplicaciones que hay funcionando en la plataforma: hacen uso del registro el núcleo (kernel, en inglés), los controladores de dispositivos, los servicios, el SAM, la interfaz de usuario y las aplicaciones de terceros. El registro también proporciona un medio de acceso a los contadores para generar un perfil del rendimiento del sistema.
Abrir el Editor del Registro en Windows 10
Esta es una manera de abrir el Editor del Registro en Windows 10.
En el cuadro de búsqueda de la barra de tareas, escribe regedit.
Selecciona el primer resultado, comando Ejecutar regedit.
Esta es otra.
Haz clic con el botón derecho en Inicio , luego selecciona Ejecutar.
Escribe regedit en el cuadro Abrir: y selecciona Aceptar.
HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav
HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav
HKEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS\DEFAULT Default, Default.log, Default.sav
La siguiente lista enumera las claves predefinidas que utiliza el sistema. El tamaño máximo del nombre de una clave es de 255 caracteres.
Carpeta o clave predefinida Descripción
- HKEY_CURRENT_USER Contiene la raíz de la información de configuración del usuario que ha iniciado sesión. Las carpetas del usuario, los colores de la pantalla y la configuración del Panel de control se almacenan aquí. Esta información está asociada al perfil del usuario. Esta clave a veces aparece abreviada como "HKCU".
- HKEY_USERS Contiene todos los perfiles de usuario cargados activamente en el equipo. HKEY_CURRENT_USER es una subclave de HKEY_USERS. HKEY_USERS puede aparecer abreviada como "HKU".
- HKEY_LOCAL_MACHINE Contiene información de configuración específica del equipo (para cualquier usuario). Esta clave a veces aparece abreviada como "HKLM".
- HKEY_CLASSES_ROOT Es una subclave de HKEY_LOCAL_MACHINE\Software. La información que se almacena aquí garantiza que cuando abra un archivo con el Explorador de Windows se abrirá el programa correcto. Esta clave a veces aparece abreviada como "HKCR". En el caso de Windows 2000, esta información se almacena en dos claves: HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER. La clave HKEY_LOCAL_MACHINE\Software\Classes contiene la configuración predeterminada que se puede aplicar a todos los usuarios del equipo local. La clave HKEY_CURRENT_USER\Software\Classes contiene la configuración que invalida la configuración predeterminada y que se aplica únicamente al usuario interactivo. La clave HKEY_CLASSES_ROOT proporciona una vista del Registro que combina la información de estos dos orígenes. HKEY_CLASSES_ROOT también proporciona una vista combinada para los programas diseñados para versiones anteriores de Windows. Para cambiar la configuración del usuario interactivo, se deben realizar los cambios en HKEY_CURRENT_USER\Software\Classes en lugar de en HKEY_CLASSES_ROOT. Para cambiar la configuración predeterminada, se deben realizar los cambios en HKEY_LOCAL_MACHINE\Software\Classes. Si escribe valores en una clave de HKEY_CLASSES_ROOT, el sistema almacena la información en HKEY_LOCAL_MACHINE\Software\Classes. Si escribe valores para una clave en HKEY_CLASSES_ROOT y la clave ya existe en HKEY_CURRENT_USER\Software\Classes, el sistema almacenará la información ahí, en lugar de en HKEY_LOCAL_MACHINE\Software\Classes.
- HKEY_CURRENT_CONFIG Contiene información acerca del perfil de hardware que utiliza el equipo local cuando se inicia el sistema.
Hacer una copia del registro de Windows
Comenzamos abriendo inicio->ejecutar y escribimos regedit y pulsamos aceptar, se abrirá el editor del registro con carpetas de tipo HKEY_En el menu principal hacemos click en registro y luego click en "Exportar archivo del registro" o "Exportar", se abrirá una nueva ventana para indicarnos donde queremos guardar nuestra copia del registro (ejemplo: mis documentos). Le damos un nombre a la copia, por ejemplo backupregistro. Verificamos que el tipo de archivo sea *.reg y que el Intervalo de exportacion sea 'Todo'.
Listo! Si llegamos a tener algun problema con el registro, solo debemos buscar nuestra copia (backupregistro), lo abrimos (haciendo doble click) y el registro volvería a la misma situacion de antes.
Una copia del registro pesa aproximadamente 90MB.Impedir el acceso a las propiedades de pantalla
Si compartes tu PC con otras personas y no quieres que te cambien el protector de pantalla puedes impedir el acceso a las propiedades de pantalla, editando el registro:
Ejecutas Regedit Haz clic en Inicio/ejecutar, escribe Regedit
Una vez estés en el Editor del registro vas a la clave:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Eliges en el menú Edición ' Nuevo ' Valor DWord
Escribes como nombre del valor: NoDispCPL
Haces luego un clic sobre el nuevo elemento creado y en la caja de información del valor escribes 1.
1 = activa la protección
0 = desactiva
En este caso no necesitas reiniciar tu PC.
Hacer que aparezca la cuenta de administrador
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList
Si no existe crearemos un nuevo valor: Segundo botón del ratón -> nuevo valor, que sea DWORD, le damos nombre ->
Administrador -> OK. Hacemos doble click en el y le damos el valor DECIMAL -> 1 Si existe, sólo tendermos que modificar el valor por un 1.
Restringir el acceso al editor de registro del sistema
En el menú Editar o desde el menú contextual que aparece al pulsar con el botón derecho del ratón seleccionaremos la opción Permisos, que abrirá un cuadro de diálogo con los diferentes permisos de acceso existentes para los usuarios del sistema sobre esa rama.
Pulsaremos sobre el botón Avanzada y nos trasladaremos hasta la pestaña Propietario. En el cuadro de diálogo 'Cambiar Propietario' selecionaremos la cuenta que tomará posesión de rama y puslaremos sobre Aplicar. Igual que si de una carpeta en el explorador de Windows se tratara, confirmaremos si queremos reemplazar el propietario del resto de claves y ramas
que cuelgan de la seleccionada.Impedir que los usuarios del equipo realicen descargas desde internet
Windows XP ofrece la posibilidad de impedir que los usuarios de un mismo equipo, realicen descargas de archivos desde Internet, para ello tenemos que recurrir al registro de Windows de la siguiente forma:
Hacemos clic en el botón Inicio y luego en Ejecutar, escribimos Regedit y pulsamos el botón Aceptar.
Ahora en el registro nos desplazamos por las siguientes claves:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones
Al abrirse la última entrada de Zones veremos varias carpetas, la que nos interesa es la carpeta nº 3. Ahora hacemos clic sobre la carpeta nº 3 y en el panel derecho veremos los valores que tiene asociados.
Buscamos el valor 1803 hacemos doble clic sobre él, en la ventana que nos muestra escribimos el número 3 y pulsamos el botón Aceptar. La próxima vez que alguien intente descargar algo desde Internet recibirá un mensaje de aviso de que la seguridad no le autoriza a descargar ese archivo.
Aclaración: Esta restricción solo afecta al usuario al que se le ha hecho la restricción, y lógicamente hay que hacer este truco desde la propia cuenta de usuario a restringir.
Crear un mensaje para el inicio de sesión en Windows
Puedes crear un banner o mensaje que se mostrará justo antes de iniciar el equipo, en la pantalla de inicio de sesión, aunque uses el método rápido sin usar la autentificación.
Es algo sencillo, solo accede a la siguiente clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
En el panel de la derecha localiza el valor REG_SZ "LegalNoticeCaption", dos clics e introduce el título, por ejemplo: NorfiPC
Localiza el valor REG_SZ "LegalNoticeText", introduce la descripción, por ejemplo: Este es el equipo de Norfi, por favor apágalo inmediatamente.
Reinicia sesión para hacer efectivo los cambios.
¿Cómo encontrar los datos de las aplicaciones y programas en el Registro?
Generalmente los programas almacenan su configuración en claves del Registro, las que se pueden localizar fácilmente para modificarlas o crear un respaldo.
Las aplicaciones instaladas para solo un usuario, las puedes encontrar en una ruta que tiene el siguiente formato:
HKEY_CURRENT_USER\Software\NombreCompañia\Aplicacion Las aplicaciones instaladas para un uso general, se pueden encontrar en:
HKEY_LOCAL_MACHINE\SOFTWARE\NombreCompañia\Aplicacion
Claves secretas del Registro de Windows con información del usuario
Claves interesantes y útiles del Registro donde se guarda información del uso acceso reciente del equipo, ubicaciones que almacenan datos que pueden ser leídos por otras personas o aplicaciones y pueden poner en peligro la privacidad del propietario.
Si has creado o descargado el script que funciona con RegJump, solo te bastará copiar y pegar para abrir con más facilidad las siguientes claves y revisarlas si sientes curiosidad.
Entradas recientes del comando Ejecutar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Se almacena y guarda en esta clave todas las entradas que han sido introducidas en el comando Ejecutar, ya sea para abrir aplicaciones, programas o para ejecutar comandos.
Archivos abiertos o guardados recientemente
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU En esta clave y subclaves con los archivos ordenados por la extensión todo lo que se ha abierto o guardado, usando los diálogos del menú Abrir y Guardar. Los valores están en hexadecimal pero se pueden leer con el software adecuado.
Claves abiertas o guardadas recientemente
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU De forma similar a la anterior en esta clave se almacenan los datos de claves abiertas y guardadas recientemente.
Documentos recientes
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs Buscando aquí se puede conocer la ubicación exacta donde otras personas han guardado sus documentos.
Cache de los ejecutables de Windows
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache En esta clave se almacenan las últimas aplicaciones EXE ejecutadas en el equipo.
User Assist
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Clave que se dice que contiene información sobre acerca de programas usados mediante la interface de Windows, pero la forma en que esta guardada es incomprensible.
Una herramienta para leerla puedes encontrar en el siguiente sitio (no funciona en Windows 7): https://blog.didierstevens.com/programs/userassist/
Último usuario loggeado al equipo
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon En un equipo de uso compartido, aquí se guarda la información del ultimo usuario que se autentifico y utilizó el equipo.
Última clave editada en Regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit Clave muy útil que permite iniciar Regedit en la última clave editada, al mismo tiempo permite conocer si alguien ha hecho o ha tratado de hacer modificaciones en el equipo.
Lista de todos los dispositivos USB instalados
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB Clave en la que se van almacenando sucesivamente sub claves correspondientes a todos los dispositivos USB que se han instalado.
Lista de todos los dispositivos de almacenamiento USB conectados
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Clave similar a la anterior pero más amplia, en este caso se guarda información de dispositivos de almacenamiento conectados al equipo, sean estos dispositivos flash, discos duros o CDROM.
En cada una de las sub claves se encuentra todos los datos detallados como el nombre, fabricante, descripción, controlador, etc.
Informacion similar guardada en un archivo LOG, puede encontrarse en al siguiente ruta en Windows: C:\windows\inf\setupapi.dev.log
Últimas direcciones URL introducidas en el navegador Internet Explorer
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls
Autocompletado de Internet Explorer
En las siguientes claves se guarda información introducida en formularios en las que se utilizó la función de auto completado.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Reglas a seguir para crear los scripts o archivos REG
Al crear un archivo para agregar al registro es necesario tener presente las siguientes reglas
La primera línea en los sistemas operativos XP, Vista y Windows 7 debe ser:
Windows Registry Editor Version 5.00
a continuación debe dejarse una línea en blanco.
En los sistemas operativos Win98, ME, o NT 4.0 será:
REGEDIT4
de la misma forma después dejar una línea en blanco.
Para crear una clave un ejemplo seria:
[HKEY_CURRENT_USER\Software\MiPrograma]
Un valor contenido en la clave anterior:
[HKEY_CURRENT_USER\Software\MiPrograma]
"mi_valor"="como"
Para eliminar una clave antepone un signo menos:
[-HKEY_CURRENT_USER\Software\MiPrograma]
Para eliminar un valor:
[HKEY_CURRENT_USER\Software\MiPrograma]
"valor a quitar"=-
Al crear cualquier valor, se supone que es una cadena, para crear un valor DWORD es necesario especificarlo, por ejemplo:
[HKEY_CURRENT_USER\Software\MiPrograma]
"mi_valor"= dword:000001
Si el carácter punto y coma (;) está delante de cualquier línea esta será ignorada y considerada como un comentario, por ejemplo:
[HKEY_CURRENT_USER\Software\MiPrograma]
; esta línea es un comentario