O Registro^(Registry) do Windows é uma coleção de configurações, valores e propriedades dos aplicativos Windows, bem como do sistema operacional Windows, que é organizado e armazenado de maneira hierárquica em um repositório único.

Sempre que um novo programa é instalado no sistema Windows , é feita uma entrada no Registro do Windows^{(Windows Registry)} com seus atributos como tamanho, versão, localização no armazenamento, etc.

O que é o Registro do Windows e como ele funciona

Como essas informações foram armazenadas no banco de dados, não apenas o sistema operacional está ciente dos recursos utilizados, outras aplicações também podem se beneficiar dessas informações, pois estão cientes de quaisquer conflitos que possam surgir se determinados recursos ou arquivos forem co- existir.

O que é o Registro do Windows^{(Windows Registry)} e como^(How) ele funciona?

O Registro do Windows^{(Windows Registry)} é realmente o coração do funcionamento do Windows . É o único sistema operacional que usa essa abordagem de registro central. Se formos visualizar, cada parte do sistema operacional precisa interagir com o Registro do Windows^{(Windows Registry)} desde a sequência de inicialização até algo tão simples quanto renomear o nome do arquivo.

Simplificando^(Simply) , é apenas um banco de dados semelhante ao de um catálogo de cartões de biblioteca, onde as entradas no registro são como uma pilha de cartões armazenados no catálogo de cartões. Uma chave de registro seria um cartão e um valor de registro seriam as informações importantes gravadas nesse cartão. O sistema operacional Windows usa o registro para armazenar um monte de informações que são usadas para controlar e gerenciar nosso sistema e software. ^(Windows)Isso pode ser qualquer coisa, desde informações de hardware do PC até preferências do usuário e tipos de arquivo. Quase^(Almost) qualquer forma de configuração que fazemos em um sistema Windows envolve a edição do registro.

História do Registro do Windows

Nas versões iniciais do Windows , os desenvolvedores de aplicativos precisavam incluir uma extensão de arquivo .ini separada junto com o arquivo executável. Esse arquivo .ini continha todas as configurações, propriedades e configurações necessárias para que o programa executável fornecido funcionasse corretamente. No entanto, isso se mostrou muito ineficiente devido à redundância de certas informações e também representou uma ameaça à segurança do programa executável. Como resultado, uma nova implementação de tecnologia padronizada, centralizada e segura era uma necessidade aparente.

Com o advento do Windows 3.1 , uma versão básica dessa demanda foi atendida com um banco de dados central comum a todos os aplicativos e sistema chamado de Registro do Windows^{(Windows Registry)} .

Essa ferramenta, no entanto, era muito limitada, pois os aplicativos só podiam armazenar determinadas informações de configuração de um executável. Ao longo dos anos, o Windows 95 e o Windows NT^{(Windows NT)} se desenvolveram ainda mais nessa base, introduziram a centralização como o recurso principal na versão mais recente do Registro do Windows^{(Windows Registry)} .

Dito isso, armazenar informações no Registro do Windows^{(Windows Registry)} é uma opção para desenvolvedores de software. Portanto, se um desenvolvedor de aplicativos de software criar um aplicativo portátil, ele não precisará adicionar informações ao registro, armazenamento local com a configuração, propriedades e valores podem ser criados e enviados com sucesso.

A relevância do Registro do Windows^{(Windows Registry)} em relação a outros sistemas operacionais

O Windows^(Windows) é o único sistema operacional que usa essa abordagem de registro central. Se formos visualizar, cada parte do sistema operacional precisa interagir com o Registro do Windows^{(Windows Registry)} desde a sequência de inicialização até a renomeação de um nome de arquivo.

Todos os outros sistemas operacionais, como iOS, Mac OS , Android e Linux continuam a usar arquivos de texto como forma de configurar o sistema operacional e modificar o comportamento do sistema operacional.

Na maioria das variantes do Linux , os arquivos de configuração são salvos no formato .txt , isso se torna um problema quando temos que trabalhar com os arquivos de texto, pois todos os arquivos .txt são considerados arquivos críticos do sistema. Portanto, se tentarmos abrir os arquivos de texto nesses sistemas operacionais, não conseguiremos visualizá-los. Esses sistemas operacionais tentam escondê-lo como medida de segurança, pois todos os arquivos do sistema, como configurações da placa de rede, firewall, sistema operacional, interface gráfica do usuário, interface das placas de vídeo, etc., são salvos no formato ASCII.^{(ASCII format.)}

Para contornar esse problema, tanto o macOS quanto o iOS implantaram uma abordagem completamente diferente para a extensão do arquivo de texto implementando a extensão .plist^{(.plist extension)} , que contém todas as informações de configuração do sistema e do aplicativo, mas ainda os benefícios de ter um registro único superam a simples mudança de extensão do arquivo.

Quais são os benefícios do Registro do Windows^{(Windows Registry)} ?

Como cada^(Every) parte do sistema operacional se comunica continuamente com o Registro do Windows^{(Windows Registry)} , ele deve ser armazenado em um armazenamento muito rápido. Portanto^(Hence) , esse banco de dados foi projetado para leituras e gravações extremamente rápidas, bem como armazenamento eficiente.

Se fôssemos abrir e verificar o tamanho do banco de dados do registro, ele normalmente pairaria entre 15 e 20 megabytes, o que o torna pequeno o suficiente para ser sempre carregado na RAM ( Random Access Memory ) que coincidentemente é o armazenamento mais rápido disponível para o sistema operacional.

Como o registro precisa ser carregado na memória o tempo todo, se o tamanho do registro for grande, ele não deixará espaço suficiente para que todos os outros aplicativos funcionem sem problemas ou funcionem. Isso seria prejudicial para o desempenho do sistema operacional, portanto, o Registro do Windows^{(Windows Registry)} foi projetado com o objetivo principal de ser altamente eficiente.

Se houver vários usuários interagindo com o mesmo dispositivo e vários aplicativos que eles usam são comuns, a reinstalação dos mesmos aplicativos duas ou várias vezes seria um desperdício de armazenamento bastante caro. O registro do Windows^(Windows) se destaca nesses cenários em que a configuração do aplicativo é compartilhada entre vários usuários.

Isso não apenas reduz o armazenamento total usado, mas também dá aos usuários acesso para fazer alterações na configuração do aplicativo a partir de uma única porta de interação. Isso também economiza tempo, pois o usuário não precisa acessar manualmente todos os arquivos .ini de^(.ini) armazenamento local .

Cenários multiusuário^(Multi-User) são muito comuns em configurações corporativas, aqui, há uma forte necessidade de acesso com privilégios de usuário. Como nem todas as informações ou recursos podem ser compartilhados com todos, a necessidade de acesso do usuário baseado em privacidade foi facilmente implementada por meio do registro centralizado do Windows. Aqui, o administrador da rede reserva-se o direito de reter ou permitir com base no trabalho realizado. Isso tornou o banco de dados singular versátil e robusto, pois as atualizações podem ser realizadas simultaneamente com acesso remoto a todos os registros de vários dispositivos na rede.

Como funciona o Registro do Windows?

Vamos explorar os elementos básicos do Registro do Windows^{(Windows Registry)} antes de começarmos a sujar as mãos.

O Registro do Windows^{(Windows Registry)} é composto por dois elementos básicos chamados Chave do Registro^{(Registry Key)} que é um objeto contêiner ou simplesmente como uma pasta que possui vários tipos de arquivos armazenados nelas e Valores do Registro^{(Registry Values)} que são objetos não contêineres que são como arquivos que pode ser de qualquer formato.

Você também deve saber: ^{(You should also know:)} Como assumir o controle total ou a propriedade das chaves de registro do Windows^{(How to Take Full Control or Ownership of Windows Registry Keys)}

Como acessar o Registro do Windows?

Podemos acessar e configurar o Registro do Windows^{(Windows Registry)} usando uma ferramenta Editor de Registro , a ^{(Registry Editor)}Microsoft inclui um utilitário de edição de registro gratuito junto com todas as versões de seu sistema operacional Windows^{(Windows Operating System)} .

Este Editor do Registro^{(Registry Editor)} pode ser acessado digitando “Regedit” no prompt^{(Command Prompt)} de comando ou simplesmente digitando “Regedit” na caixa de pesquisa ou execução no menu Iniciar^(Start) . Este editor é o portal para acessar o registro do Windows e nos ajuda a explorar e fazer alterações no registro. O registro é o termo genérico usado por vários arquivos de banco de dados localizados no diretório de instalação do Windows .

Como acessar o Editor do Registro

execute o regedit no prompt de comando shift + F10

É seguro editar o Editor do Registro?^{(Is it Safe to edit Registry Editor?)}

Se você não sabe o que está fazendo, é perigoso brincar com a configuração do Registro . ^(Registry)Sempre que editar o Registro^(Registry) , certifique-se de seguir as instruções corretas e alterar apenas o que for instruído a alterar.

Se você excluir intencionalmente ou acidentalmente algo no Registro do Windows^{(Windows Registry)} , isso poderá alterar a configuração do seu sistema, o que pode levar à Tela Azul^{(Blue Screen)} da Morte^(Death) ou ao Windows não inicializar.

Portanto, geralmente é recomendável fazer backup do Registro do Windows^{(backup Windows Registry)} antes de fazer qualquer alteração nele. Você também pode criar um ponto de restauração do sistema^{(create a system restore point)} (que faz backup automaticamente do Registro^(Registry) ) que pode ser usado se você precisar alterar as configurações do Registro^(Registry) de volta ao normal. Mas se você apenas o que lhe é dito, então não deve ser nenhum problema. Caso você precise saber como restaurar o Registro do Windows, este tutorial^{(restore Windows Registry then this tutorial)} explica como fazer isso facilmente.

Vamos explorar a estrutura do Registro do Windows^{(Windows Registry)}

Há um usuário em um local de armazenamento inacessível que existe apenas para acesso ao sistema operacional.

Essas Chaves^(Keys) são carregadas na RAM durante o estágio de inicialização do sistema e são constantemente comunicadas dentro de um determinado intervalo de tempo ou quando um determinado evento ou eventos de nível de sistema ocorrem.

Uma determinada parte dessas chaves de registro é armazenada no disco rígido. Essas chaves que são armazenadas no disco rígido são chamadas de colmeias. Esta seção do registro contém chaves do registro, subchaves do registro e valores do registro. Dependendo do nível de privilégio concedido a um usuário, ele poderá acessar certas partes dessas chaves.

As chaves que estão no pico da hierarquia no registro que começa com HKEY são consideradas hives.

No Editor , as colmeias estão localizadas no lado esquerdo da tela quando todas as teclas são visualizadas sem expansão. Essas são as chaves do Registro que aparecem como pastas.

Vamos explorar a estrutura da chave de registro do Windows e suas subchaves:

Exemplo de um nome de chave – “HKEY_LOCAL_MACHINESYSTEMInputBreakloc_0804”

Aqui o “loc_0804” refere-se à subchave “Break” refere-se à subchave “Input” que se refere à subchave “SYSTEM” da chave raiz HKEY_LOCAL_MACHINE .

Chaves raiz comuns no registro do Windows^{(Common Root Keys in Windows Registry)}

Cada uma das seguintes chaves é seu próprio hive individual, que compreende mais chaves dentro da chave de nível superior.

eu. HKEY_CLASSES_ROOT

Esta é a seção de registro do Registro do Windows^{(Windows Registry)} , que consiste em informações de associação de extensão de arquivo, identificador programático^{(programmatic identifier)} ( ProgID ), dados de ID de interface^{(Interface ID)} ( IID ) e ID de classe (CLSID)^{(Class ID (CLSID))} .

Este hive de registro HKEY_CLASSES_ROOT é o gateway para qualquer ação ou evento que ocorra no sistema operacional Windows . Suponha^(Suppose) que queremos acessar alguns arquivos mp3 na pasta Downloads . O sistema operacional executa sua consulta por meio dele para executar as ações necessárias.

No momento em que você acessa o hive HKEY_CLASSES_ROOT , é muito fácil ficar sobrecarregado olhando para uma lista tão grande de arquivos de extensão. No entanto, essas são as mesmas chaves de registro que fazem o Windows funcionar com fluidez

A seguir estão alguns dos exemplos de chaves de registro do hive HKEY_CLASSES_ROOT ,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Sempre que clicamos duas vezes e abrimos um arquivo, digamos uma foto, o sistema envia a consulta através do HKEY_CLASSES_ROOT onde são dadas claramente as instruções sobre o que fazer quando tal arquivo é solicitado. Assim, o sistema acaba abrindo um visualizador de fotos exibindo a imagem solicitada.

No exemplo acima, o registro faz uma chamada para as chaves armazenadas na chave HKEY_CLASSES_ROOT\.jpg . O hive HKEY_CLASSES_ROOT é um dado coletivo encontrado tanto no hive HKEY_LOCAL_MACHINE ( HKEY_LOCAL_MACHINE\Software\Classes ) quanto no hive HKEY_CURRENT_USER ( HKEY_CURRENT_USERSoftwareClasses ^{(HKEY_CURRENT_USER)}HKEY_CURRENT_USER\Software\Classes . Portanto, quando a chave do registro existe em dois locais, ela cria conflitos. Portanto, os dados encontrados em HKEY_CURRENT_USER\Software\Classes são usados em HKEY_ CLASSES_ ROOT . Ele pode ser acessado abrindo a tecla HKEY_CLASSES no lado esquerdo da tela.

ii. HKEY_LOCAL_MACHINE

Esta é uma das várias seções de registro que armazena todas as configurações específicas do computador local. Esta é uma chave global onde as informações armazenadas não podem ser editadas por nenhum usuário ou programa. Devido^(Due) à natureza global dessa subchave, todas as informações armazenadas nesse armazenamento estão na forma de um contêiner virtual executado continuamente na RAM . A maioria das informações de configuração para os usuários do software instalado e o próprio sistema operacional Windows está ocupado em ^(Windows)HKEY_LOCAL_MACHINE . Todo o hardware atualmente detectado é armazenado no hive HKEY_LOCAL_MACHINE .

Também saiba como: ^{(Also know how to:)} Corrigir falhas do Regedit.exe ao pesquisar no Registro^{(Fix Regedit.exe Crashes when searching through Registry)}

Essa chave de registro é dividida em 7 subchaves:^{(This registry key is further divided into 7 sub-keys:)}

1. SAM ( Security Accounts Manager ) – É um arquivo de chave de registro que armazena as senhas dos usuários em um formato seguro (em hash LM e hash NTLM ). Uma função de hash é uma forma de criptografia usada para proteger as informações da conta dos usuários.

É um arquivo bloqueado que está localizado no sistema em C:WINDOWSsystem32config, que não pode ser movido ou copiado quando o sistema operacional está em execução.

O Windows^(Windows) usa o arquivo de chave de registro do Gerenciador de contas de segurança^{(Security Accounts Manager)} para autenticar usuários enquanto eles fazem login em suas contas do Windows . Sempre que um usuário faz login, o Windows^(Windows) usa uma série de algoritmos de hash para calcular um hash para a senha inserida. Se o hash da senha inserida for igual ao hash da senha dentro do arquivo de registro SAM^{(SAM registry file)} , os usuários terão permissão para acessar sua conta. Este também é um arquivo que a maioria dos hackers tem como alvo durante a execução de um ataque.

2. Segurança^{(2. Security)} (não acessível, exceto pelo administrador) – Esta chave de registro é local para a conta do usuário administrativo que está conectado ao sistema atual. Se o sistema for gerenciado por qualquer organização, os usuários não poderão acessar esse arquivo, a menos que o acesso administrativo tenha sido explicitamente concedido a um usuário. Se fôssemos abrir este arquivo sem privilégio administrativo, ficaria em branco. Agora, se nosso sistema estiver conectado a uma rede administrativa, essa chave será padronizada para o perfil de segurança do sistema local estabelecido e gerenciado ativamente pela organização. Essa chave está vinculada ao SAM , portanto, após a autenticação bem-sucedida, dependendo do nível de privilégio do usuário, uma variedade de políticas locais e de grupo^{(group policies)} são aplicadas.

3. Sistema^{(3. System)} (processo de inicialização crítico e outras funções do kernel) – Esta subchave contém informações importantes relacionadas a todo o sistema, como nome do computador, dispositivos de hardware atualmente montados, sistema de arquivos e que tipo de ações automatizadas podem ser tomadas em um determinado evento, digamos lá é a tela azul da morte^{(Blue screen of death)} devido ao superaquecimento da CPU , existe um procedimento lógico que o computador começará automaticamente a receber em tal evento. Este arquivo só pode ser acessado por usuários com privilégios administrativos suficientes. Quando o sistema inicializa, é onde todos os logs são salvos dinamicamente e lidos. Vários parâmetros do sistema, como configurações alternativas que são conhecidas como conjuntos de controle.

4. Software Todas as configurações de software de terceiros^{(Third-party)} , como drivers plug and play, são armazenadas aqui. Essa subchave contém configurações de software e Windows vinculadas ao perfil de hardware preexistente que pode ser alterado por vários aplicativos e instaladores do sistema. Os desenvolvedores de software^(Software) podem limitar ou permitir quais informações são acessadas pelos usuários quando seu software está sendo usado, isso pode ser definido usando a subchave "Políticas" que impõe as políticas gerais de uso em aplicativos e serviços do sistema que incluem os certificados do sistema usados autenticar, autorizar ou proibir determinados sistemas ou serviços.

5. Hardware que é uma subchave que é criada dinamicamente durante a inicialização do sistema

6. As^{(6. Components )} informações de configuração de componentes específicos do dispositivo em todo o sistema podem ser encontradas aqui

7. BCD.dat (na pasta oot na partição do sistema) que é um arquivo crítico que o sistema lê e inicia a execução durante a seqüência de inicialização do sistema carregando o registro na RAM .

iii. HKEY_CURRENT_CONFIG

A principal razão para a existência dessa subchave é armazenar vídeo e configurações de rede. Essas podem ser todas as informações relativas à placa de vídeo, como resolução, taxa de atualização, proporção, etc., bem como a rede

É também uma seção de registro, parte do Registro do Windows^{(Windows Registry)} , e que armazena informações sobre o perfil de hardware que está sendo usado no momento. HKEY_CURRENT_CONFIG é na verdade um ponteiro para a chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry , isso é simplesmente um ponteiro para o perfil de hardware ativo atualmente listado na chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles .

Portanto, HKEY_CURRENT_CONFIG nos ajuda a visualizar e modificar a configuração do perfil de hardware do usuário atual, o que podemos fazer como administrador em qualquer um dos três locais listados acima, pois são todos iguais.

4. HKEY_CURRENT_USER

Parte das seções de registro que contém configurações de armazenamento, bem como informações de configuração para Windows e softwares específicos para o usuário conectado no momento. Por exemplo, uma variedade de valores do Registro nas chaves do Registro estão localizados na seção HKEY_CURRENT_USER controlam as configurações de nível de usuário, como o layout do teclado, impressoras instaladas, papel de parede da área de trabalho, configurações de exibição, unidades de rede mapeadas e muito mais.

Muitas das configurações que você define em vários miniaplicativos no Painel de Controle^{(Control Panel)} são armazenadas na seção de registro HKEY_CURRENT_USER . Como o hive HKEY_CURRENT_USER é específico do usuário, no mesmo computador, as chaves e os valores contidos nele serão diferentes de usuário para usuário. Isso é diferente da maioria dos outros hives de registro que são globais, o que significa que eles retêm as mesmas informações em todos os usuários do Windows .

Clicar no lado esquerdo da tela no editor de registro nos dará acesso a HKEY_CURRENT_USER . Como medida de segurança, as informações armazenadas em HKEY_CURRENT_USER são apenas um ponteiro para a chave posicionada na seção HKEY_USERS como nosso identificador de segurança. As alterações feitas em qualquer uma das áreas entrarão em vigor imediatamente.

v. HKEY_USERS

Contém subchaves correspondentes às chaves HKEY_CURRENT_USER para cada perfil de usuário. Esta é também uma das muitas colmeias de registro que temos no Registro do Windows^{(Windows Registry)} .

Todos os dados de configuração específicos do usuário são registrados aqui, para todos que estão usando ativamente o dispositivo, essas informações de tipo são armazenadas em HKEY_USERS . Todas as informações específicas do usuário armazenadas no sistema que correspondem a um determinado usuário são armazenadas na seção HKEY_USERS , podemos identificar os usuários de forma exclusiva utilizando o identificador de segurança ou o SID^{(security identifier or the SID)} que registra todas as alterações de configuração feitas pelo usuário.

Todos esses usuários ativos cuja conta existe na seção HKEY_USERS , dependendo do privilégio concedido pelo administrador do sistema, poderá acessar os recursos compartilhados, como impressoras, rede local, unidades de armazenamento local, plano de fundo da área de trabalho, etc. Sua conta possui determinado registro keys e valores de registro correspondentes armazenados no SID do usuário atual .

Em termos de informações forenses, cada SID armazena uma enorme quantidade de dados sobre cada usuário, pois faz um log de cada evento e ação realizada na conta do usuário. Isso inclui o nome^(Name) do usuário , o número de vezes que o usuário se conectou ao computador, a data e hora do último login, a data e hora em que a última senha foi alterada, o número de logins com falha e assim por diante. Além disso, ele também contém as informações de registro para quando o Windows^(Windows) é carregado e fica no prompt de login.

Recomendado: ^{(Recommended:)} Correção O editor do Registro parou de funcionar^{(Fix The Registry editor has stopped working)}

As chaves de registro para o usuário padrão são armazenadas no arquivo ntuser.dat dentro do perfil, que teríamos que carregar isso como um hive usando o regedit para adicionar configurações para o usuário padrão.

Tipos de dados que podemos esperar encontrar no Registro do Windows^{(Types of data we can expect to find in the Windows Registry)}

Todas as chaves e subchaves discutidas acima terão as configurações, valores e propriedades salvas em qualquer um dos seguintes tipos de dados, geralmente é uma combinação dos seguintes tipos de dados que compõe todo o registro do Windows.

Valores de string, como Unicode, que^{(Unicode which)} é um padrão da indústria de computação para codificação, representação e manipulação consistentes de texto expresso na maioria dos sistemas de escrita do mundo.
Dados binários
Inteiros não assinados
Links simbólicos
Valores de várias strings
Lista de recursos^(Resource) ( hardware Plug and Play )
Descritor de recursos^(Resource) ( hardware Plug and Play )
inteiros de 64 bits

Conclusão^(Conclusion)

O Registro do Windows^{(Windows Registry)} foi nada menos que uma revolução, que não apenas minimizou o risco de segurança que vinha usando arquivos de texto como uma extensão de arquivo para salvar a configuração do sistema e do aplicativo, mas também reduziu o número de arquivos de configuração ou .ini que os desenvolvedores de aplicativos tiveram que enviar com seu produto de software. Os benefícios de ter um repositório centralizado para armazenar os dados acessados com frequência tanto pelo sistema quanto pelo software que roda no sistema são muito evidentes.

A facilidade de uso, bem como o acesso a várias personalizações e configurações em um local central, também fizeram do Windows a plataforma preferida para aplicativos de desktop por vários desenvolvedores de software. Isso fica muito evidente se você comparar o grande volume de aplicativos de software de desktop disponíveis do Windows com o macOS da Apple. Para resumir, discutimos como o Registro do Windows^{(Windows Registry)} funciona e sua estrutura de arquivos e o significado de várias configurações de chave de registro, bem como usar o editor de registro para o efeito completo.

What is the Windows Registry & How it Works?

Windows Registry is a collection of configurations, values, and properties of windows аpplications as well as the windows operating system whіch is organized and ѕtored in a hierarсhical mаnner in a singular repository.

Whenever a new program gets installed in the Windows system, an entry is made in the Windows Registry with its attributes such as size, version, location in the storage, etc.

What is the Windows Registry and How it Works

Because, this information has been stored in the database, not only the operating system is aware of the resources utilized, other applications can also benefit from this information since they are aware of any conflicts that may arise if certain resources or files were to co-exist.

What is the Windows Registry & How it Works?

The Windows Registry is really the heart of the way Windows works. It is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to something as simple as renaming the file’s name.

Simply put, it is just a database similar to that of a library card catalog, where the entries in the registry are like a stack of cards stored in the card catalog. A registry key would be a card and a registry value would be the important information written on that card. The Windows operating system uses the registry to store a bunch of information that’s used to control and manage our system and software. This can be anything from PC hardware information to user preferences and file types. Almost any form of configuration that we do to a Windows system involves editing the registry.

History of Windows Registry

In the initial versions of Windows, application developers had to include in a separate .ini file extension along with the executable file. This .ini file contained all the settings, properties and configuration required for the given executable program to function properly. However, this proved very inefficient due to the redundancy of certain information and it also posed a security threat to the executable program. As a result, a new implementation of standardized, centralized as well as secure technology was an apparent necessity.

With the advent of Windows 3.1, a bare-bones version of this demand was met with a central database common to all the applications and system called the Windows Registry.

This tool, however, was very limited, since the applications could only store certain configuration information of an executable. Over the years, Windows 95 and Windows NT further developed on this foundation, introduced centralization as the core feature in the newer version of Windows Registry.

That said, storing information in Windows Registry is an option for software developers. So, if a software application developer were to create a portable application, he is not required to add information to the registry, local storage with the configuration, properties, and values can be created and successfully shipped.

The relevance of Windows Registry with respect to other operating systems

Windows is the only operating system that uses this approach of a central registry. If we were to visualize, every part of the operating system has to interact with the Windows Registry right from the booting sequence to the renaming of a file name.

All other operating systems such as iOS, Mac OS, Android, and Linux continue to use text files as a way of configuring the operating system and modifying the operating system behavior.

In most of the Linux variants, the configuration files are saved in the .txt format, this becomes an issue when we have to work with the text files since all the .txt files are considered as critical system files. So if we try to open the text files in these operating systems, we wouldn’t be able to view it. These operating systems try to hide it as a security measure since all the system files such as configurations of the network card, firewall, operating system, graphical user interface, video cards interface, etc. are saved in the ASCII format.

To circumvent this issue both macOS, as well as iOS, deployed a completely different approach to the text file extension by implementing .plist extension, which contains all of the system as well as application configuration information but still the benefits of having a singular registry far outweigh the simple change of file extension.

What are the benefits of the Windows Registry?

Because Every part of the operating system continuously communicates with the Windows Registry, it must be stored in very fast storage. Hence, this database was designed for extremely fast reads and writes as well as efficient storage.

If we were to open and check the size of the registry database, it would typically hover between 15 – 20 megabytes which make it small enough to be always loaded into the RAM (Random Access Memory) that co-incidentally is the fastest storage available for the operating system.

Since the registry needs to be loaded in memory at all times, if the size of the registry is large it won’t leave enough room for all other applications to run smoothly or run at all. This would be detrimental to the performance of the operating system, hence the Windows Registry is designed with a core objective of being highly efficient.

If there are multiple users interacting with the same device and there are a number of applications that they use are common, the reinstallation of the same applications twice or multiple times would be a waste of rather expensive storage. Windows registry excels in these scenarios where the application configuration is shared among various users.

This not only reduces the total storage used but also gives its users access to make changes to the application’s configuration from one single interaction port. This also saves time since the user doesn’t have to manually go to every local storage .ini file.

Multi-User scenarios are very common in enterprise setups, here, there is a strong need for user privilege access. Since not all the information or resources can be shared with everyone, the need for privacy-based user access was easily implemented through the centralized windows registry. Here the network administrator reserves the right to withhold or allow based on the work undertaken. This made the singular database versatile as well made it robust since the updates can be undertaken simultaneously with remote access to all of the registries of multiple devices in the network.

How does Windows Registry Works?

Let’s explore the basics elements of the Windows Registry before we start getting our hands dirty.

The Windows Registry is made up of two basic elements called the Registry Key which is a container object or simply put they are like a folder that has various types of files stored in them and Registry Values which are non-container objects that are like files that could be of any format.

You should also know: How to Take Full Control or Ownership of Windows Registry Keys

How to access the Windows Registry?

We can access and configure the Windows Registry using a Registry Editor tool, Microsoft includes a free registry editing utility along with every version of its Windows Operating System.

This Registry Editor can be accessed by typing “Regedit” in the Command Prompt or by simply typing “Regedit” in the search or run box from the Start menu. This editor is the portal to access the Windows registry, and it helps us to explore and make changes to the registry. The registry is the umbrella term used by various database files located within the directory of the Windows installation.

How to access Registry Editor

run regedit in command prompt shift + F10

Is it Safe to edit Registry Editor?

If you don’t know what you’re doing then it is dangerous to play around Registry configuration. Whenever you edit the Registry, make sure you follow the correct instructions and only change what you’re instructed to change.

If you knowingly or accidentally delete something in the Windows Registry then it could alter your system’s configuration which could either lead to Blue Screen of Death or Windows won’t boot.

So it is generally recommended to backup Windows Registry before making any changes to it. You can also create a system restore point (which automatically backup the Registry) that can be used if you ever need to alter the Registry settings back to normal. But if you only what you’re told then it shouldn’t be any problem. In case you need to know how to restore Windows Registry then this tutorial explains how to do so easily.

Let’s explore the structure of the Windows Registry

There is a user in an inaccessible storage location that exists for only the operating system’s access.

These Keys are loaded on to the RAM during the system boot stage and are constantly being communicated within a certain interval of time or when a certain system-level event or events take place.

A certain portion of these registry keys gets stored in the hard disk. These keys that are stored in the hard disk are called hives. This section of the registry contains registry keys, registry subkeys, and registry values. Depending on the level of the privilege a user has been granted, he would be to access certain parts of these keys.

The keys that are at the peak of the hierarchy in the registry that begins with HKEY are considered to be hives.

In the Editor, the hives are located on the left side of the screen when all the keys are viewed without expanding. These are the registry keys that appear as folders.

Let’s explore the structure of the windows registry key and its subkeys:

Example of a key name – “HKEY_LOCAL_MACHINE\SYSTEM\Input\Break\loc_0804”

Here the “loc_0804” refers to the subkey “Break” refers to the subkey “Input” which refers to the subkey “SYSTEM” of the HKEY_LOCAL_MACHINE root key.

Common Root Keys in Windows Registry

Each of the following keys is its own individual hive, which comprises more keys within the top-level key.

i. HKEY_CLASSES_ROOT

This is the registry hive of the Windows Registry which consists of file extension association information, programmatic identifier (ProgID), Interface ID (IID) data, and Class ID (CLSID).

This registry hive HKEY_CLASSES_ROOT is the gateway for any action or event to take place in the Windows operating system. Suppose we want to access some mp3 files in the Downloads folder. The operating system runs its query through this to take the required actions.

The moment you access the HKEY_CLASSES_ROOT hive, it is really easy to get overwhelmed looking at such a massive list of extension files. However, these are the very registry keys that make windows function fluidly

Following are some of the examples of HKEY_CLASSES_ROOT hive registry keys,

HKEY_CLASSES_ROOT\.otf
HKEY_CLASSES_ROOT\.htc
HKEY_CLASSES_ROOT\.img
HKEY_CLASSES_ROOT\.mhtml
HKEY_CLASSES_ROOT\.png
HKEY_CLASSES_ROOT\.dll

Whenever we double-click and open a file lets say a photo, the system sends the query through the HKEY_CLASSES_ROOT where the instructions on what to do when such a file is requested are clearly given. So the system ends up opening a photo viewer displaying the requested image.

In the above example, the registry makes a call to the keys stored in the HKEY_CLASSES_ROOT\.jpg key. The HKEY_CLASSES_ROOT hive is a collective data found in both the HKEY_LOCAL_MACHINE hive (HKEY_LOCAL_MACHINE\Software\Classes) as well as the HKEY_CURRENT_USER hive (HKEY_CURRENT_USER\Software\Classes). So when the registry key exists in two locations it creates conflicts. So the data found in HKEY_CURRENT_USER\Software\Classes is used in HKEY_ CLASSES_ ROOT. It can be accessed by opening the HKEY_CLASSES key on the left side of the screen.

ii. HKEY_LOCAL_MACHINE

This is one of the several registry hives that stores all the settings that are specific to the local computer. This is a global key where the information stored cannot be edited by any user or program. Due to the global nature of this subkey, all the information stored in this storage is in the form of a virtual container running on the RAM continuously. The majority of the configuration information for the software users have installed and the Windows operating system itself is occupied in HKEY_LOCAL_MACHINE. All of the currently detected hardware is stored in the HKEY_LOCAL_MACHINE hive.

Also know how to: Fix Regedit.exe Crashes when searching through Registry

This registry key is further divided into 7 sub-keys:

1. SAM (Security Accounts Manager) – It is a registry key file that stores users’ passwords in a secured format (in LM hash and NTLM hash). A hash function is a form of encryption used to protect the users’ account information.

It is a locked file that is located in the system at C:\WINDOWS\system32\config, which cannot be moved or copied when the operating system is running.

Windows uses the Security Accounts Manager registry key file to authenticate users while they log into their Windows accounts. Whenever a user logs in, Windows uses a series of hash algorithms to calculate a hash for the password that has been entered. If the entered password’s hash is equal to the password hash inside the SAM registry file, users will be allowed to access their account. This also a file that most of the hackers target while performing an attack.

2. Security (not accessible except by administrator) – This registry key is local to the account of the administrative user who is logged in to the current system. If the system is managed by any organization the users cannot access this file unless administrative access has been explicitly given to a user. If we were to open this file without administrative privilege it would be blank. Now, if our system is connected to an administrative network, this key will default to the local system security profile established and actively managed by the organization. This key is linked to the SAM, so upon successful authentication, depending on the privilege level of the user, a variety of local and group policies are applied.

3. System (critical boot process and other kernel functions) – This subkey contains important information related to the entire system such as computer name, currently mounted hardware devices, filesystem and what kind of automated actions can be taken in a certain event, say there is Blue screen of death due to CPU overheating, there is a logical procedure that the computer will automatically start taking in such an event. This file is only accessible by users with sufficient administrative privileges. When the system boots this is where all the logs get dynamically get saved and read upon. Various system parameters such as alternative configurations which are known as control sets.

4. Software All the Third-party software configurations such as plug and play drivers are stored here. This subkey contains software and Windows settings linked to the preexisting hardware profile that can be changed by various applications and system installers. Software developers get to limit or allow what information gets accessed by the users when their software is being used, this can be set using the “Policies” subkey that enforces the general usage policies on applications and system services that include the system certificates that is used to authenticate, authorize or disallow certain systems or services.

5. Hardware which is a subkey that is created dynamically during the system boot

6. Components system-wide device-specific component configuration information can be found here

7. BCD.dat (in the \boot folder in the system partition) which is a critical file that the system reads and starts executing during the system boot sequence by loading the registry to the RAM.

iii. HKEY_CURRENT_CONFIG

The main reason for the existence of this subkey is to store video as well as network settings. That could be all the information pertaining to the video card such as the resolution, refresh rate, aspect ratio, etc. as well as the network

It is also a registry hive, part of the Windows Registry, and which stores information about the hardware profile currently being used. HKEY_CURRENT_CONFIG is actually a pointer to the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles\Currentregistry key, This is simply a pointer to the currently active hardware profile listed under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles key.

So HKEY_ CURRENT_CONFIG helps us to view and modify the configuration of the current user’s hardware profile, which we can do as an administrator in any of the three locations as listed above since they are all the same.

iv. HKEY_CURRENT_USER

Part of the registry hives that contains store settings as well as configuration information for Windows and software that are specific to the currently logged-in user. For example, a variety of registry values in the registry keys are located in the HKEY_CURRENT_USER hive control user-level settings such as the keyboard layout, printers installed, desktop wallpaper, display settings, mapped network drives, and more.

Many of the settings you configure within various applets in the Control Panel are stored in the HKEY_CURRENT_USER registry hive. Because the HKEY_CURRENT_USER hive is user-specific, on the same computer, the keys and values contained in it will differ from user to user. This is unlike most other registry hives that are global, meaning they retain the same information across all users in Windows.

Clicking on the left side of the screen on the registry editor will give us access to HKEY_CURRENT_USER. As a security measure, the information stored on HKEY_CURRENT_USER is just a pointer to key positioned under the HKEY_USERS hive as our security identifier. Changes made to either of the areas will take effect immediately.

v. HKEY_USERS

This contains subkeys corresponding to the HKEY_CURRENT_USER keys for each user profile. This is also one of many registry hives that we have in the Windows Registry.

All the user-specific configuration data is logged here, for everyone who is actively using the device that kind information is stored under HKEY_USERS. All the user-specific information stored on the system that corresponds to a particular user is stored under the HKEY_USERS hive, we can uniquely identify the users utilizing the security identifier or the SID that logs all the configuration changes made by the user.

All of these active users whose account exist in the HKEY_USERS hive depending on the privilege granted by the system administrator would be able to access the shared resources such as printers, local network, local storage drives, desktop background, etc. Their account has certain registry keys and corresponding registry values stored under the current user’s SID.

In terms of forensic information each SID stores a huge amount of data on every user as it makes a log of every event and action get undertaken under the user’s account. This includes the User’s Name, the number of times the user logged onto the computer, the date and time of the last login, the date and time the last password was changed, number of failed logins, and so on. Additionally, it also contains the registry information for when Windows loads and sits at the login prompt.

The registry keys for the default user are stored in the file ntuser.dat within the profile, that we would have to load this as a hive using regedit to add settings for the default user.

Types of data we can expect to find in the Windows Registry

All of the above-discussed keys and subkeys will have the configurations, values, and properties saved in any of the following data types, usually, it is a combination of the following data types that makes up our entire windows registry.

String values such as Unicode which is a computing industry standard for the consistent encoding, representation, and handling of text expressed in most of the world’s writing systems.
Binary data
Unsigned integers
Symbolic links
Multi-string values
Resource list (Plug and Play hardware)
Resource descriptor (Plug and Play hardware)
64-bit integers

Conclusion

Windows Registry has been nothing less of a revolution, which not only minimized the security risk that came by using text files as a file extension to save the system and application configuration but it also reduced the number of configuration or .ini files that the application developers had to ship with their software product. The benefits of having a centralized repository to store frequently accessed data by both the system as well as the software that runs on the system are very evident.

The ease of use as well as the access to various customizations and settings in one central place has also made windows the preferred platform for desktop applications by various software developers. This is very evident if you compare the sheer volume of available desktop software applications of windows to Apple’s macOS. To summarize, we discussed how the Windows Registry works and its file structure and the significance of various registry key configurations as well as to use the registry editor to the complete effect.

Samuel Garcia

About the author

Eu sou um engenheiro de windows,ios,pdf,errors,gadgets com mais de 10 anos de experiência. Trabalhei em muitos aplicativos e estruturas do Windows de alta qualidade, como OneDrive for Business, Office 365 e muito mais. Meu trabalho recente incluiu desenvolver o leitor de pdf para a plataforma Windows e trabalhar para tornar as mensagens de erro mais claras para os usuários. Além disso, estou envolvido no desenvolvimento da plataforma ios há alguns anos e estou muito familiarizado com seus recursos e peculiaridades.

O que é o Registro do Windows e como ele funciona?

O que é o Registro do Windows(Windows Registry) e como(How) ele funciona?

História do Registro do Windows

A relevância do Registro do Windows(Windows Registry) em relação a outros sistemas operacionais

Quais são os benefícios do Registro do Windows(Windows Registry) ?

Como funciona o Registro do Windows?

Como acessar o Registro do Windows?

É seguro editar o Editor do Registro?(Is it Safe to edit Registry Editor?)

Vamos explorar a estrutura do Registro do Windows(Windows Registry)

Chaves raiz comuns no registro do Windows(Common Root Keys in Windows Registry)

eu. HKEY_CLASSES_ROOT

ii. HKEY_LOCAL_MACHINE

iii. HKEY_CURRENT_CONFIG

4. HKEY_CURRENT_USER

v. HKEY_USERS

Conclusão(Conclusion)

What is the Windows Registry & How it Works?

What is the Windows Registry & How it Works?

History of Windows Registry

The relevance of Windows Registry with respect to other operating systems

What are the benefits of the Windows Registry?

How does Windows Registry Works?

How to access the Windows Registry?

Is it Safe to edit Registry Editor?

Let’s explore the structure of the Windows Registry

Common Root Keys in Windows Registry

i. HKEY_CLASSES_ROOT

ii. HKEY_LOCAL_MACHINE

iii. HKEY_CURRENT_CONFIG

iv. HKEY_CURRENT_USER

v. HKEY_USERS

Conclusion

Samuel Garcia

About the author

Related posts

Regbak permite fazer backup e restaurar o Windows Registry facilmente

Registry Live Watch rastreará mudanças no Windows Registry ao vivo

Free Registry Defragmenter para desfragmentar Windows Registry

Prevent uninstallation de Chrome extensões usando Windows 10 registo

3 maneiras de desativar o Windows Registry

Customize Ctrl+Alt+Del Screen usando Group Policy or Registry em Windows

Como comprimir Bloated Registry colmeias em Windows Server

Desativar Vertical Tabs em Microsoft Edge usando Registry em Windows 10

O que é o Registro do Windows (e o que você pode fazer com ele)?

Fix Windows foi incapaz de carregar o registry error

Como restaurar o Registry usando Command Prompt em Windows 11/10

Como editar o registro de Command Prompt em Windows 10

Ativar o Windows 10 Full Start Menu tela usando Group Policy or Registry

Lista de Startup Paths, Folders and Registry Settings em Windows 10

Como tomar posse e controle total de Registry keysin Windows 10

Como navegar e editar o registro de Explorer em Windows

Como desligar App Notifications usando Registry Editor em Windows 10

Como desativar Picture Password Sign-In option em Windows 10

Desativar Delivery Optimization via Group Policy or Registry Editor

Como mudar rato ClickLock time usando Registry Editor em Windows 10

O que é o Registro do Windows^{(Windows Registry)} e como^(How) ele funciona?

A relevância do Registro do Windows^{(Windows Registry)} em relação a outros sistemas operacionais

Quais são os benefícios do Registro do Windows^{(Windows Registry)} ?

É seguro editar o Editor do Registro?^{(Is it Safe to edit Registry Editor?)}

Vamos explorar a estrutura do Registro do Windows^{(Windows Registry)}

Chaves raiz comuns no registro do Windows^{(Common Root Keys in Windows Registry)}

Conclusão^(Conclusion)