Rejestr systemów Windows NT/2000/XP/2003 jest centralną, hierarchiczną bazą danych zawierającą ustawienia urządzeń, systemu operacyjnego, ustawienia użytkowników i aplikacji zainstalowanych na komputerze. Jest zbudowany z wielu elementów, które są przechowywane w kilku różnych plikach na komputerze w folderach \Windows\System32\Config oraz \Documents and Setting\ nazwa_użytkownika.

 

Struktura rejestru jest złożona i zawiera elementy, które są pogrupowane według przeznaczenia na klucze i podklucze, zawierające wpisy i ustawienia dla poszczególnych elementów systemu.
W skład rejestru wchodzi pięć kluczy głównych, które z kolei zawierają szereg podkluczy. Główne klucze rejestru to:

• HKEY_CURRENT_CONFIG – zawiera informacje o bieżącej konfiguracji sprzętowej
• HKEY_CLASSES_ROOT – zawiera informacje dotyczące powiązania rozszerzeń plików z aplikacjami oraz dane dotyczące OLE (sposób przenoszenia danych pomiędzy programami i ich współużytkowanie)
• HKEY_CURRENT_USER – zawiera informacje dotyczące zalogowanych użytkowników. Każdemu użytkownikowi jest poświęcony osobny podklucz
• HKEY_USERS – informacje dotyczące kont użytkowników. Każdemu użytkownikowi jest poświęcony osobny podklucz
• HKEY_LOCAL_MACHINE – zawiera informacje dotyczące konfiguracji systemu i parametrów komputera lokalnego, takich jak wykryty sprzęt, zainstalowane oprogramowanie oraz ustawienia zabezpieczeń. Składa się ona z pięciu podkluczy:
• HARDWARE - zawiera informacje dotyczące całego sprzętu rozpoznanego przez system. W trakcie uruchamiania systemu zbierane są dane o podłączonych urządzeniach, a przy zamykaniu dane te są kasowane. Klucz ten jest kluczem nietrwałym.
• SAM – ten klucz podrzędny zawiera bardzo ważne informacje i z tego powodu domyślnie nie jest dostępny dla użytkowników poprzez edytor rejestru. Klucz ten przechowuje informacje dotyczące użytkowników i grup lokalnych, wraz z ich prawami dostępu do plików i folderów.
• SECURITY – klucz zawierający informacje dotyczące zabezpieczeń, które powinny być chronione przed niepowołanymi użytkownikami. Wartości tego klucza są domyślnie niewidoczne w edytorze rejestru. Klucz zawiera informacje dotyczące użytkowników, grup, praw dostępu, a także aplikacji i sterowników urządzeń znajdujących się w komputerze.
• SOFTWARE – zawiera informacje dotyczące aplikacji, takie jak ścieżki dostępu do składników aplikacji i plików uruchomieniowych czy licencje. Na przykład podklucz Microsoft/Windows/CurrentVersion/Run zawiera informacje o programach uruchamianych podczas startu systemu.
• SYSTEM – podklucz ten zawiera informacje takie jak: zestawy kontrolne konfiguracji potrzebne do poprawnego rozruchu systemu (bootowania), informacje o konfiguracji systemu Windows, informacje dotyczące urządzeń dyskowych – ich pojemności, ustawień RAID itd.

Podczas uruchamiania systemu lub przy logowaniu użytkownika niektóre informacje zawarte w plikach tworzących rejestr są ładowane do pamięci RAM, podczas gdy inne przechowywane są na dysku, jednakże w każdym przypadku pliki tworzące rejestr są łączone w jedną spójną całość dostępną z poziomu systemu operacyjnego.
W gałęzi HKLM\System\CurrentControlSet\Control\HiveList znajdują się wpisy dotyczące położenia plików i odpowiadających im gałęzi w rejestrze:

• SAM – wpis ten odpowiada podkluczowi HKLM\SAM.
• Security – wpis ten odpowiada podkluczowi HKLM\SECURITY.
• Software – wpis ten odpowiada podkluczowi HKLM\Software.
• Hardware - wpis ten odpowiada podkluczowi HKLM\Hardware. Nie ma wartości, ponieważ nie jest zapisany na dysku.
• System – wpis ten odpowiada podkluczowi HKLM\System.
• Default – wpis ten odpowiada podkluczowi HKU\.Default.
• Dla każdego użytkownika w systemie tworzony jest wpis, który wskazuje plik NTUSER.DAT, w folderze użytkownika Documents and Settings.

Wszystkie te pliki, za wyjątkiem HKEY_CURRENT_USER, które są przechowywane w %systemroot%\ Documents and Settings\Nazwa użytkownika, znajdują się w %systemroot%\ System32\Config. Gałąź HKEY_CURRENT_USER jest obsługiwana przez plik ntuser.dat i ntuser.log. Plik ntuser.dat zawiera profile użytkownika, a plik ntuser.log zawiera wszystkie zmiany dokonywane w pliku ntuser.dat.
Do zarządzania rejestrem służy Edytor rejestru (program regedit.exe). Program ten umożliwia administratorowi modyfikowanie zawartości rejestru. Można za jego pomocą dodawać klucze, podklucze, zmieniać wartości poszczególnych parametrów, czy nadawać uprawnienia do modyfikacji. Edytor rejestru umożliwia przeglądanie oraz przeszukiwanie rejestru. Możliwość przeszukiwania rejestru jest bardzo użyteczną funkcjonalnością – można np. wyszukiwać śladów po wykorzystywaniu lub instalacji niedozwolonego oprogramowania

 

Ochrona rejestru
W edytorze rejestru należy odpowiednio ustalić prawa dostępu do rejestru. Uprawnienia elementów rejestru są ustalane osobno dla każdego klucza. Pozwala to na nadawanie uprawnień w jednym kluczu, a zablokowanie ich w innym. Klucze podrzędne mogą dziedziczyć prawa po kluczach nadrzędnych. Ustalanie praw do klucza w rejestrze wygląda podobnie jak nadawanie praw do plików lub folderów zapisanych w formacie NTFS. Można odpowiednio skonfigurować następujące prawa:

• Pełna kontrola
• Badanie wartości
• Ustawianie wartości
• Tworzenie podklucza
• Wyliczanie podkluczy
• Powiadamianie
• Tworzenie łącza
• Usuń
• Zapisywanie DAC (ang. Discretionary Access Control)
• Zapisywanie właściciela
• Kontrola odczytu 

W zależności od wersji systemu operacyjnego domyślnie są skonfigurowane różne uprawnienia do rejestru dla użytkowników. Zalecane uprawnienia to:

W środowiskach sieciowych może zaistnieć potrzeba zdalnej modyfikacji i ochrony rejestru. Aby uniemożliwić zdalną kontrolę nad rejestrem należy:

Innym ważnym aspektem ochrony rejestru jest tworzenie jego kopii zapasowej. Dobrym zwyczajem administratora jest tworzenie kopii rejestru przed jakąkolwiek operacją związana z edycją rejestru. W razie błędnej edycji możliwe będzie odtworzenie stanu sprzed modyfikacji. Kopię rejestru można utworzyć korzystając z Edytora rejestru lub narzędzia Kopia zapasowa dostępnego w systemie.

Nadzór nad rejestrem
Kontrolowanie rejestru ma znaczenie, jeśli dążymy do zapewnienia wysokiego poziomu bezpieczeństwa. Ze względu na możliwy duży rozmiar rejestru (od około 20MB –  w zależności od liczby zainstalowanych aplikacji) przeglądanie rejestru może być uciążliwe, a przeglądanie wszystkich kluczy nie ma sensu. Zaleca się sprawdzanie kluczy odpowiedzialnych za przechowywanie informacji o zainstalowanych programach (HKEY_LOCAL_MACHINE\SOFTWARE), aby identyfikować oprogramowanie dodane do systemu. W szczególności należy kontrolować wartości wpisane w gałęzie rejestru odpowiedzialne za uruchamianie programów w trakcie startu systemu lub logowania użytkownika np: klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wydajniejszym sposobem kontroli rejestru w systemach Windows jest kontrolowanie wpisów w rejestrze poprzez ustanowienie zasad inspekcji. Zalecane ustawienia zasad inspekcji rejestru to: