REGISTRO DE WINDOWS

Jennifer Molina Daz

Instructor: Liliana Guerrero

SENA - Consulted
MECYDICE
Bogot, D.C
2015

REGISTRO DE WINDOSW
El registro de Windows es una base de datos jerrquica que almacena los ajustes
de configuracin y opciones en los sistemas operativos Microsoft Windows.
Contiene la configuracin de los componentes de bajo nivel del sistema operativo,
as como de las aplicaciones que hay funcionando en la plataforma: hacen uso del
registro el ncleo (kernel, en ingls), los controladores de dispositivos, los
servicios, el SAM, la interfaz de usuario y las aplicaciones de terceros. El registro
tambin proporciona un medio de acceso a los contadores para generar un perfil
del rendimiento del sistema.
Cuando se introdujo por primera vez con Windows 3.1, el propsito fundamental
del registro de Windows era almacenar informacin sobre la configuracin de
componentes basados en COM. Con la introduccin de Windows 95 y Windows
NT, su utilizacin se extendi para ordenar la profusin de archivos INI de cada
programa, los cuales se haban utilizado anteriormente para almacenar los ajustes
de configuracin de los programas basados en Windows. Las aplicaciones
porttiles normalmente no escriben los datos relativos a la configuracin en el
registro de Windows, sino que guardan los datos de configuracin en archivos
ubicados dentro de un nico directorio desde el cual se ejecuta la aplicacin.
Antes de la existencia del registro, los archivos.INI almacenaban los ajustes de
cada programa en un archivo de texto, a menudo en una ubicacin compartida
que no permita ajustes especficos para cada usuario en entornos de mltiples
usuarios. Por el contrario, el registro de Windows almacena todos los ajustes de
las aplicaciones en un solo repositorio lgico (con un nmero pequeo de
archivos) y de forma estandarizada. Segn Microsoft, este sistema ofrece varias
ventajas sobre los archivos INI. Como el anlisis de archivos se realiza de forma
mucho ms eficiente con el formato binario, se puede leer o escribir en l ms
rpidamente que en un archivo INI. As mismo, los datos fuertemente tipiados se
pueden almacenar en el registro, lo que no ocurra con la informacin de texto
almacenada en los archivos INI. Esto es una ventaja cuando se editan las claves
manualmente usando REGEDIT, el editor integrado para el registro de Windows.
Dado que los ajustes del registro especficos para un usuario se cargan desde una
ruta concreta para ese usuario, en lugar de hacerlo desde una ubicacin de solo
lectura del sistema, el registro permite que varios usuarios compartan el mismo
equipo, y tambin permite que los programas funcionen para usuarios con menos
privilegios. Adems se han simplificado las copias de seguridad y la restauracin,
ya que es posible acceder al registro a travs de una conexin de red para realizar
labores de soporte y mantenimiento remotos, o incluso desde scripts usando el

conjunto estndar de API, siempre y cuando el servicio de registro remoto est

funcionando y las reglas del cortafuego lo permitan.

ESTRUCTURA Y REGISTRO DE WINDOWS

El registro contiene dos elementos bsicos: claves y valores.
Las claves del registro son similares a carpetas: adems de los valores, cada
clave puede contener subclaves, que a su vez pueden contener ms subclaves, y
as sucesivamente. Las claves estn referenciadas con una sintaxis parecida a los
nombres de las rutas de Windows, y usan barras diagonales inversas para indicar
los distintos niveles jerrquicos. Cada subclave tiene obligatoriamente un nombre:
una cadena que no puede contener barras diagonales inversas y en la que no se
distingue entre maysculas y minsculas.
nicamente se puede acceder a la jerarqua de las claves del registro desde un
identificador de clave raz conocido (que es annimo, pero cuyo valor efectivo es
un identificador numrico constante) asignado al contenido de una clave de
registro precargada por el ncleo desde un "subrbol" almacenado, o asignado al
contenido de una subclave dentro de otra clave raz, o tambin asignado a un
servicio registrado o DLL que proporciona acceso a los valores y subclaves
contenidos en ste.
Ejemplo: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows se refiere a la
subclave "Windows" de la subclave "Microsoft" de la subclave "Software" de la
clave raz HKEY_LOCAL_MACHINE.
Hay siete claves races predefinidas, las cuales tradicionalmente se nombran
segn su identificador constante definido en la API de Win32, **por sus
abreviaturas correspondientes (dependiendo de las aplicaciones):
HKEY_LOCAL_MACHINE o bien HKLM
HKEY_CURRENT_CONFIG o bien HKCC (nicamente en Windows 9x/Me y en
las versiones basadas en NT de Windows)
HKEY_CLASSES_ROOT o bien HKCR
HKEY_CURRENT_USER o bien HKCU
HKEY_USERS o bien HKU

HKEY_PERFORMANCE_DATA (nicamente en las versiones de Windows

basadas en NT, pero invisible para el editor del registro)
HKEY_DYN_DATA (nicamente en Windows 9x/Me, y visible en el editor de
registro de Windows)
Al igual que otros archivos y servicios de Windows, todas las claves de registro
pueden restringirse mediante listas de control de acceso (ACL), dependiendo de
los privilegios del usuario, los tokens de seguridad obtenidos por las aplicaciones,
o las directivas de seguridad aplicadas por el sistema (estas restricciones pueden
ser definidas por el mismo sistema y configuradas por los administradores locales
del sistema o por administradores de dominio). Los diferentes usuarios,
programas, servicios y sistemas remotos podrn ver nicamente una parte de la
jerarqua o de las distintas jerarquas de las mismas claves raz.
Los valores del registro son pares de nombres y datos almacenados dentro de las
claves. Los valores del registro se referencian separados de las claves de registro.
Cada valor de registro almacenado en una clave de registro posee un nombre
nico, sin distingue entre maysculas y minsculas. Las funciones API de
Windows que consultan y manipulan los valores del registro toman nombres de
valor independientes de la ruta de la clave o el indicador que identifica la clave
principal. Los valores del registro pueden contener barras diagonales inversas en
el nombre, pero esto los hace difciles de distinguir de sus rutas de clave cuando
se utilizan algunas funciones API del registro de Windows (cuyo uso est obsoleto
en Win32).
La terminologa puede inducir a error, ya que cada clave de registro es similar a un
vector asociativo, en el que la terminologa estndar denomina "clave" a la parte
del nombre de cada valor de registro. Los trminos son un vestigio del registro de
16 bits de Windows, en el cual las claves de registro no podan contener pares de
nombres/datos, sino que contenan nicamente un valor sin nombre (que tena
que ser una cadena). En este sentido, todo el registro era como un nico vector
asociativo en el que las claves de registro (tanto en el sentido de registro como en
el del diccionario) formaban una jerarqua, y los valores del registro eran todas
cadenas. Cuando se cre el registro de 32 bits, tambin se cre la capacidad
adicional de crear mltiples valores con nombre por clave y, de algn modo, se
distorsion el significado de los nombres.Para mantener la compatibilidad con el
comportamiento anterior, todas las claves de registro pueden tener un valor "por
defecto", cuyo nombre es la cadena vaca.

SUBARBOLES
El registro comprende varias secciones lgicas o subrboles5 (la palabra
inglesa para subrbol, hive, es un chiste interno).6 Los subrboles normalmente
se nombran segn las definiciones de sus API de Windows, las cuales empiezan
siempre por HKEY. Con frecuencia se abrevian en un nombre de tres o cuatro
letras que empieza con HK (p. ej., HKCU y). Tcnicamente, se trata de
indicadores predefinidos (con valores constantes predefinidos) para claves
especficas que se mantienen en la memoria o se almacenan en archivos de
subrbol almacenados en el sistema de archivos local y cargados por el ncleo del
sistema en el tiempo de arranque, y a continuacin se comparten (con varios
derechos de acceso) entre todos los procesos que se estn ejecutando en el
sistema local, o cargados y asignados en todos los procesos iniciados en una
sesin de usuario cuando el usuario accede al sistema. Los nodos
HKEY_LOCAL_MACHINE (datos de configuracin local especficos del equipo) y
HKEY_CURRENT_USER (datos de configuracin especficos del usuario) tienen
una estructura similar entre s; las aplicaciones del usuario normalmente buscan
su configuracin buscndolos primero en
HKEY_CURRENT_USER\Software\Vendor's name\Application's
name\Version\Setting name, y si no se encuentra la configuracin, miran en la
misma ubicacin, en la clave HKEY_LOCAL_MACHINE [necesita cita]. Sin
embargo, se puede aplicar lo opuesto en configuraciones de directivas aplicadas
por el administrador, en las que el HKLM puede estar por encima del HKCU. El
programa del logotipo de Windows tiene requisitos especficos sobre dnde se
pueden almacenar los distintos tipos de datos de usuario para que se siga el
principio del privilegio mnimo, de forma que no se necesite acceso a nivel de
administrador para usar una aplicacin.7
HKEY_LOCAL_MACHINE (HKLM)
HKEY_LOCAL_MACHINE, abreviado como HKLM, almacena configuraciones
especficas del equipo local.8
Las claves ubicadas como HKLM realmente no se almacena en el disco, sino que
el ncleo del sistema la mantiene en la memoria para asignar all las dems
subclaves. Las aplicaciones no pueden crear subclaves adicionales. En las
versiones NT de Windows, esta clave contiene cuatro subclaves: SAM,
SECURITY, SYSTEM y SOFTWARE, las cuales se cargan en el tiempo de
arranque en sus respectivos archivos ubicados en la carpeta %SystemRoot
%\System32\config. Hay una quinta subclave, HARDWARE, que es voltil y se

crea dinmicamente y, como tal, no se almacena en un archivo (muestra una vista

de todos los dispositivos Plug-and-Play detectados en ese momento). En Windows
Vista y versiones superiores, el ncleo asigna una sexta subclave en la memoria y
se llena con datos de la configuracin de arranque (BCD).
La clave HKLM\SAM normalmente aparece vaca para la mayora de los
usuarios (a no ser que los administradores del sistema local o los administradores
de dominios que administran el sistema local les hayan concedido acceso). Se
utiliza para referenciar todas las bases de datos "administrador de cuentas de
seguridad" (SAM) para todos los dominios en los cuales el sistema local ha sido
autorizado o configurado administrativamente (incluyendo el dominio local del
sistema en ejecucin, cuya base de datos SAM est almacenada en una subclave
llamada tambin SAM; se crearn otras subclaves segn se necesiten, una por
cada dominio adicional). Cada base de datos SAM contiene todas las cuentas
integradas (principalmente alias de grupo) y cuentas configuradas (usuarios,
grupos y sus alias, incluyendo cuentas invitadas y cuentas de administrador),
creadas y configuradas en su respectivo dominio, ya que cada cuenta en ese
dominio contiene el nombre de usuario que se puede utilizar para iniciar sesin en
ese dominio, el identificador interno y exclusivo del usuario en el dominio, una
funcin hash criptogrfica de la contrasea de cada usuario para cada protocolo
de autenticacin habilitado, la ubicacin del almacenamiento de su subrbol de
registro de usuario, varios indicadores de estado (por ejemplo si la cuenta se
puede enumerar y hacer visible en la ventana emergente de inicio de sesin), y la
lista de dominios (incluido el dominio local) en el que se configur la cuenta.
La clave HKLM\SECURITY generalmente aparece vaca para la mayora de los
usuarios (excepto cuando un usuario con privilegios de administrador les concede
acceso) y est vinculada a la base de datos de seguridad del dominio en el que ha
iniciado sesin el usuario (si el usuario ha iniciado sesin en el dominio del
sistema local, esta clave estar vinculada al subrbol de registro almacenado en el
equipo local y gestionado por administradores locales del sistema o por la cuenta
"Sistema" integrada y los instaladores de Windows). El ncleo acceder a ella
para leer y aplicar la directiva de seguridad que sea de aplicacin al usuario actual
y a todas las aplicaciones y operaciones ejecutadas por este usuario. Tambin
contiene una subclave "SAM", vinculada dinmicamente a la base de datos SAM
del dominio en el cual el usuario actual ha iniciado sesin.
Normalmente, la clave HKLM\SYSTEM nicamente es editable por usuarios con
privilegios de administrador en el sistema local. Contiene informacin sobre el
programa de instalacin del sistema de Windows, datos para el generador seguro

de nmeros aleatorios (RNG), la lista de los dispositivos montados actualmente

que contienen un sistema de archivos, varios "HKLM\SYSTEM\Control Sets"
numerados que contienen configuraciones alternativas de los servicios y
controladores del hardware del sistema que est en funcionamiento en el sistema
local (incluyendo el que est en uso y una copia de seguridad), una subclave
"HKLM\SYSTEM\Select" que contiene el estado de este conjunto de controles, y
un "HKLM\SYSTEM\CurrentControlSet" el cual, durante el tiempo de arranque, se
vincula dinmicamente al conjunto de controles usado en esos momentos en el
sistema local. Cada conjunto de controles configurado contiene:
Una subclave "Enum" que enumera todos los dispositivos Plug-and-Play
conocidos y los asocia a los controladores de sistema instalados (y almacena las
configuraciones especficas de cada dispositivo de dichos controladores).
Una subclave "Services" en la que se enumeran todos los controladores de
sistema instalados (sin configuracin especfica para dispositivos y con una
enumeracin de los dispositivos para los cuales se ha creado una instancia de los
mismos) y todos los programas que funcionan como servicios (cmo y cundo se
pueden iniciar automticamente).
Una subclave "Control", la cual organiza los diversos controladores de hardware y
programas que estn funcionando como servicios, y la configuracin del resto del
sistema.
Una subclave "Hardware Profiles", que enumera los diversos perfiles que se han
optimizado (cada uno de ellos con la configuracin de "sistema" o "software"
usada para modificar el perfil predeterminado en servicios y controladores del
sistema o en las aplicaciones), as como la clave "Hardware Profiles\Current", que
se vincula dinmicamente a uno de esos perfiles.
La subclave "HKLM\SOFTWARE" contiene ajustes de software y de Windows (en
el perfil predeterminado de hardware). Resulta modificada principalmente por los
instaladores del sistema y de las aplicaciones. Se ordena por vendedor de
software (con una subclave para cada uno), pero tambin contiene una subclave
"Windows" para algunas configuraciones de la interfaz de usuario de Windows,
una subclave "Classes" que contiene todas las asociaciones registradas de
extensiones de archivo, tipos de MIME, Id. De clases de objetos e Id. de interfaces
(para OLE, COM/DCOM y ActiveX), para las aplicaciones o DLL instalados que
probablemente manejen estos tipos en el equipo local (sin embargo, dichas
asociaciones son configurables para cada usuario, ver ms adelante), y una
subclave "Policies" (tambin ordenada por vendedor) para aplicar las directivas de

uso general en aplicaciones y servicios del sistema (incluyendo el almacn central

de certificados usado para autentificar, autorizar o desautorizar a sistemas y
servicios remotos que funcionan desde fuera del dominio de la red local).
La clave "HKLM\SOFTWARE\Wow6432Node" se usa con aplicaciones de 32 bits
en los SO Windows de 64 bits y, aunque es independiente, es equivalente a
"HKLM\SOFTWARE". En aplicaciones de 32 bits, WoW64 presenta de forma
transparente la ruta de la clave como HKLM\SOFTWARE9 (similar a la forma en
que las aplicaciones de 32 bits ven %SystemRoot%\Syswow64 como
%SystemRoot%\System32)
HKEY_CLASSES_ROOT (HKCR)
HKEY_CLASSES_ROOT, abreviado como HKCR, contiene informacin sobre
aplicaciones registradas, como asociaciones de archivos e Id. De clase de objetos
OLE, ligndolos a las aplicaciones utilizadas para identificar estos elementos. En
Windows 2000 y versiones superiores, HKCR es una compilacin de
HKCU\Software\Classes basada en el usuario y de HKLM\Software\Classes
basada en el equipo. Si un valor dado existe en las dos subclaves anteriores, la
contenida en HKCU\Software\Classes prevalece.10 El diseo permite el registro
de objetos COM especfico del equipo o del usuario. El subrbol de clases
especfico del usuario, a diferencia del subrbol HKCU, no forma parte del perfil de
usuario mvil.
HKEY_USERS (HKU)
HKEY_USERS, abreviado como HKU, contiene subclaves correspondientes a las
claves HKEY_CURRENT_USER de cada perfil de usuario cargado activamente en
el equipo, aunque normalmente slo se cargan los subrboles de usuario
correspondientes a los usuarios con sesin iniciada en esos momentos.
HKEY_CURRENT_USER (HKCU)
HKEY_CURRENT_USER, abreviado como HKCU, almacena configuraciones
especficas del usuario con sesin iniciada en esos momentos.11 La clave
HKEY_CURRENT_USER es un enlace a la subclave de HKEY_USERS
correspondiente al usuario; se puede acceder a la misma informacin en ambas
ubicaciones. En los sistemas NT de Windows la configuracin de cada usuario se
almacena en sus propios archivos, llamados NTUSER.DAT y USRCLASS.DAT
dentro de su subcarpeta Documents and Setting (o en su subcarpeta Usuarios en

Windows Vista y versiones superiores). Las configuraciones contenidas en este

subrbol siguen de equipo en equipo a los usuarios con perfil mvil.
HKEY_PERFORMANCE_DATA
Esta clave proporciona informacin del tiempo de ejecucin mediante datos de
rendimiento proporcionados por el propio ncleo NT o por controladores del
sistema, programas y servicios en funcionamiento que proporcionen datos de
rendimiento. Esta clave no se almacena en ningn subrbol y no aparece en el
Editor de registro, pero es visible a travs de las funciones de registro en el API de
Windows, en una vista simplificada a travs de la pestaa Rendimiento del
Administrador de tareas (nicamente para algunos datos de rendimiento del
sistema local) o a travs de paneles de control ms avanzados (como el Monitor
de rendimientos o el Analizador de rendimientos, los cuales permiten recoger y
registrar esta informacin, incluyendo la de sistemas remotos).
HKEY_DYN_DATA: Esta clave se usa slo en Windows 95, Windows 98 y
Windows Me. Contiene informacin sobre dispositivos de hardware, incluyendo
estadsticas de rendimiento de Plug and Play y de red. La informacin contenida
en este subrbol tampoco se almacena en el disco duro. La informacin sobre
Plug and Play se recoge y configura en el inicio, y se almacena en la memoria

VALORES DE REGISTRO DE WINDOWS

Significado y
Nombr
e

codificacin de los
Nombre de tipo simblico de datos

datos almacenados
en el valor de
registro

Datos sin ningn tipo

0

REG_NONE

(en todo caso, el

valor almacenado)

Valor de cadena,
normalmente
almacenado y
mostrado en UTF16LE (cuando se

REG_SZ

utiliza la versin
Unicode de las
funciones API de
Win32), que
generalmente termina
con un carcter nulo

Valor de cadena
"expandible" que
puede contener
variables de entorno,

REG_EXPAND_SZ

normalmente
almacenado y
mostrado en UTF16LE, que
generalmente termina
con un carcter nulo

Datos binarios

REG_BINARY

(cualquier dato
arbitrario)

Valor DWORD, nmer

o entero no negativo

REG_DWORD /

de 32 bits (nmeros

REG_DWORD_LITTLE_ENDIAN

entre el 0 y el
4.294.967.295 [232
1]) (little-endian)

REG_DWORD_BIG_ENDIAN

Valor DWORD,
nmero entero no
negativo de 32 bits
(nmeros entre el 0 y
el 4.294.967.295 [232

 1]) (big-endian)

Enlace simblico
(UNICODE) a otra

REG_LINK

clave de registro,
especificando una
clave raz y la ruta a la
clave objetivo

Valor de cadena
mltiple, que
generalmente es una
lista ordenada de
cadenas no vacas,
normalmente

REG_MULTI_SZ

almacenadas y
mostradas en UTF16LE, cada una de
ellas terminada en un
carcter nulo, y la lista
normalmente tambin
termina con un
carcter nulo.

REG_RESOURCE_LIST

Lista de recursos
(usada por la
enumeracin y

configuracin del
hardware Plug-n-Play)

Descriptor de recursos
(usado por la

REG_FULL_RESOURCE_DESCRIPTOR

enumeracin y
configuracin del
hardware Plug-n-Play)

Lista de requisitos de
recursos (usada por la

10

REG_RESOURCE_REQUIREMENTS_LIST enumeracin y
configuracin del
hardware Plug-n-Play)

Valor QWORD,
nmero entero de 64

11

bits (puede ser big-

REG_QWORD /
REG_QWORD_LITTLE_ENDIAN

endian o little-endian,
o sin especificar).
(Introducido
en Windows XP)

MODIFICAR EL REGISTRO
Los administradores pueden modificar el Registro con el Editor del Registro
(Regedit.exe o Regedt32.exe), la Directiva de grupo, la Directiva del sistema o los

archivos del Registro (.reg.), o bien ejecutando scripts como los archivos de script
de Visual BASIC.
Se recomienda que utilice la interfaz de usuario de Windows para cambiar la
configuracin del sistema en lugar de modificar el Registro manualmente. Sin
embargo, modificar el Registro puede ser a veces el mtodo mejor para resolver
un problema del producto.
El rea de navegacin del Editor del Registro muestra carpetas. Cada carpeta
representa una clave predeterminada del equipo local. Cuando se obtiene acceso
al Registro de un equipo remoto, slo aparecen dos claves predefinidas:
HKEY_USERS y HKEY_LOCAL_MACHINE.
1. Navegar
en
el
regedit
hasta
la
clave:
HKEY_CLASSES_ROOT\DesktopBackground\Shell
2.Crear
una
nueva
clave
la
cual
nombraremos Apagar
3.Crear una subclave la cual nombraremos como command
4.En el panel de la derecha clicamos y pegamos el siguiente comando:
Apagar: shutdown /s /t 0

Ahora para crear el regedit en el men de opciones de escritorio debemos entrar

de nuevo en regedit e ir nuevamente hasta la clave:
HKEY_CLASSES_ROOT\DesktopBackground\Shell
1. Crear una nueva clave la cual nombraremos Regedit
2. Crear una subclave la cual nombraremos como command
3. En el panel de la derecha clicamos y pegamos el siguiente comando:
Regedit: Regedit