Tw-city.info

IT Новости
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Редактор реестра не может задать безопасность

Вадим Стеркин

В некоторые разделы реестра Windows изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть две:

  • Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
  • Владельцем раздела являются системная учетная запись Система или TrustedInstaller (Вторая служит в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели). В этом случае можно сначала стать владельцем раздела, а затем выдать своей группе полные права. Но есть и более интересные альтернативы — утилиты для запуска исполняемых файлов от имени этих учетных записей.

Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать.

На этой странице

В Windows 8 слегка изменился графический интерфейс смены владельца, что стало непреодолимым препятствием для ряда читателей, судя по комментариям. Мне претит, когда на одной странице дублируются практически одинаковые инструкции, но другие варианты еще хуже. Поэтому выбирайте инструкции для своей ОС. Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел реестра.

Получение полных прав и смена владельца

По ходу дела вы увидите, кто является владельцем раздела реестра. Если это Система или TrustedInstaller, можно воспользоваться подходящей утилитой ↓

Windows 8 и новее

  1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
  2. Выделите группу «Администраторы»:
    • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела.
    • Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
  3. Нажмите кнопку Дополнительно, нажмите ссылку Изменить вверху окна, введите адрес электронной почты учетной записи Microsoft или имя локальной учетной записи, проверьте имя и нажмите кнопку ОК.
  4. Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
  5. Установите флажок «Полный доступ», как описано в пункте 2.

Windows 7

  1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
  2. Выделите группу «Администраторы»:
    • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела.
    • Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
  3. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
  4. Здесь я рекомендую различный подход в зависимости от владельца раздела.
    • Если владельцем является TrustedInstaller, выделите свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
    • Если владельцем является Система, можно поступить так же, но лучше сделать иначе.
  5. Установите флажок «Полный доступ», как описано в пункте 2.

Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела.

Возвращение исходных прав и восстановление владельца

После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.

Windows 8 и новее

  1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.

  • Нажмите кнопку Дополнительно, нажмите ссылку Изменить вверху окна и введите имя учетной записи:
    • NT ServiceTrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
    • система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)

  • Установите флажок Заменить владельца подконтейнеров и объектов вверху окна и нажмите кнопку ОК.
  • Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.
  • Windows 7

    1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
    2. Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.
    3. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Вы увидите, что в отличие от вашей учетной записи, в списке нет служебных учетных записей Система и TrustedInstaller. Их нужно добавлять в список, как описано ниже.
    4. Нажмите кнопку Другие пользователи и группы и в качестве имени объекта введите:
      • NT ServiceTrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
      • система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
      • Нажмите кнопку ОК.

    Теперь нужная учетная запись есть в списке. Выделите ее, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

    Исходные права и владелец раздела реестра восстановлены.

    Внесение изменений в реестр от имени учетной записи «Система»

    Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

    1. Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
    2. Откройте командную строку от имени администратора и выполните команду:

    Запустится редактор реестра, причем от имени системы, что задается параметром -s (параметр -i обеспечивает интерактивный запуск приложения).

    В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.

    Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».

    Внесение изменений в реестр от имени учетной записи TrustedInstaller

    Попробуйте эти утилиты:

    • Trusted Shell (64-разрядная версия в архиве, пароль: tshell ). Достаточно запустить утилиту с правами администратора, затем в командной строке ввести regedit. Автор, Дмитрий Стариков, рассказывает о принципах работы в комментариях к этой записи.
    • DevxExec. Краткие инструкции в комментариях.

    Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

    Метки: sysinternals, реестр Информация в статье применима к Windows 7 и новее

    Об авторе

    Вадим является владельцем этого блога, и большинство записей здесь вышло из-под его пера. Подробности о блоге и авторе здесь.

    Вас также может заинтересовать:

    Подпишитесь на бесплатные уведомления о новых записях и получите в подарок мою книгу об ускорении загрузки Windows!

    Как получить полный доступ к разделу реестра

    Содержание

    Причины отсутствия доступа к реестру

    В некоторые разделы реестра Windows 7 изменения не может внести даже администратор, работающий в редакторе реестра, который запущен с полными правами. Это происходит потому, что у группы «Администраторы» нет прав на запись в этот раздел реестра. Причин для этого может быть три:

      • Группа «Администраторы» является владельцем раздела, но не имеет полных прав на него. В этом случае достаточно просто выдать группе «Администраторы» полные права.
      • Владельцем раздела является системная служба TrustedInstaller. Эта служба работает в рамках комплекса по укреплению безопасности операционной системы, но для любителей «поковырять» реестр она представляет собой досадную помеху на пути к цели. В этом случае нужно сначала стать владельцем раздела, а затем выдать своей группе полные права.
      • Владельцем раздела является системная учетная запись «Система». В этом случае можно поступить так же, как и с TrustedInstaller, но я также расскажу, как использовать другой способ, не связанный с изменениями разрешений.

    Далее я покажу, как внести изменения в реестр при недостатке прав. Я также объясню, как восстановить исходные разрешения, и почему это нужно делать

    Получение полных прав и смена владельца

    Я полагаю, что в редакторе реестра у вас уже открыт нужный раздел.

      1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
      2. Выделите группу «Администраторы»:
        • Если доступен флажок Полный доступ, установите его и нажмите кнопку ОК. Этого может оказаться достаточно, если группа является владельцем раздела

        • Если флажок недоступен или вы видите сообщение об ошибке, переходите к пункту 3.
      1. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
      2. Здесь я рекомендую различный подход в зависимости от владельца раздела.
        • Если владельцем является TrustedInstaller, выделите свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

      • Если владельцем является Система, можно поступить так же

    Теперь ничто не препятствует записи в этот раздел реестра. Однако я рекомендую восстановить права, когда вы закончите редактирование раздела

    Возвращение исходных прав и восстановление владельца

    После внесения изменений в реестр я советую вернуть исходные права и восстановить владельца, чтобы не снижать безопасность системы. Кроме того, на форум не раз обращались за помощью люди, у которых правильная работа системы нарушалась после того, как у системной учетной записи TrustedInstaller было отобрано владение.

    1. Щелкните правой кнопкой мыши на разделе реестра и выберите из меню пункт Разрешения.
    2. Выделите группу «Администраторы», снимите флажок Полный доступ и нажмите кнопку Применить.

  • Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Вы увидите, что в отличие от вашей учетной записи, в списке нет служебных учетных записей Система и TrustedInstaller. Их нужно добавлять в список, как описано ниже.
  • Нажмите кнопку Другие пользователи и группы и в качестве имени объекта введите:
    • NT ServiceTrustedInstaller, если владельцем являлась учетная запись TrustedInstaller
    • система, если владельцем являлась учетная запись Система (в английской ОС нужно вводить System)
    • Нажмите кнопку ОК.

    Теперь нужная учетная запись есть в списке. Выделите ее, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

    Исходные права и владелец раздела реестра восстановлены.

    Внесение изменений в реестр от имени учетной записи «Система»

    Если владельцем раздела реестра является специальная учетная запись «Система», существует способ внести изменения в раздел, не изменяя владельца и разрешений. Для этого используется утилита PsExec, входящая в набор утилит Марка Руссиновича PsTools. Суть способа сводится к запуску редактора реестра от имени системы.

    1. Загрузите набор PsTools и распакуйте утилиту PsExec в папку Windows, чтобы не указывать к ней путь в командной строке.
    2. Откройте командную строку от имени администратора и выполните команду:

    psexec -i -s regedit

    Запустится редактор реестра, причем от имени системы, что задается параметром — s.

    В этом легко убедиться с помощью другой утилиты Марка Руссиновича – Process Explorer. В свойствах процесса видно, от чьего имени он запущен.

    Теперь вы можете вносить изменения в разделы реестра, владельцем которых является учетная запись «Система».

    К сожалению, я не нашел способа запустить редактор реестра от имени TrustedInstaller.

    Как скорректировать запись в реестре, если его редактирование запрещено администратором системы Windows

    Редактор реестра дает расширенный доступ к полезным настройкам, исправлению ошибок, восстановлению нормальной работы системы. Но иногда при попытке что-то изменить появляется уведомление о том, что редактирование реестра запрещено администратором операционной системы Win 7 (или 8, 10).

    Есть несколько способов обойти данное ограничение – далее мы расскажем, как это делается.

    Включение реестра через «Редактор групповой политики»

    Данный метод подойдет только обладателям Windows «Профессиональная», потому что «Базовая» и Home подобное не поддерживают.

    Итак, чтобы получить доступ к редактору:

    1. Нажмите сочетание кнопки с логотипом Windows и R.
    2. В строку впишите «gpedit.msc» (без кавычек) и щелкните по «Enter».

    Вводим команду gpedit.msc

    Производим разблокировку редактора реестра

    Закройте окно и попробуйте внести изменения в реестр.

    Убираем запрет администратора на редактирование реестра с помощью «Командной строки»

    Если у вас нет инструмента, описанного в предыдущей главе, можно обратиться к Command Line. Чтобы не столкнуться с запретом от Windows XP (7, 8, 10), лучше найти консоль через «Поиск», щелкнуть дополнительной кнопкой и выполнить Run as Administrator.

    1. В поле нужно внести: reg add “HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem” /t Reg_dword /v DisableRegistryTools /f /d 0, сохраняя все знаки и пробелы, как здесь.
    2. Кликните «Интер».

    Теперь проверьте, помог ли данный метод.

    Открытие доступа к реестру с помощью bat-файла

    Если Command Line не запустилась (например, Windows7 не запускает приложение от имени администратора) или отказывается выполнять команду, можно прибегнуть к другому методу:

    1. Запустите стандартное приложение «Блокнот», которое есть в любой «Виндовс».
    2. Нажмите File – New.
    3. Внесите в поле reg add “HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem” /t Reg_dword /v DisableRegistryTools /f /d 0.
    4. Выполните File – Save as All file types, дайте любое латинское название и припишите к нему .bat (например, file.bat).
    5. Теперь кликните по созданному документу дополнительной кнопкой и выберите Run as Administrator.

    Выбираем Run as Administrator

    Перейдите к редактированию реестра.

    С применением стороннего приложения

    Можно также скачать специальную утилиту, которая снимает запрет на внесение изменений в реестр. Ее можно найти на сайте разработчика – компании Symantec.

    1. Скачайте файл – он представлен как ссылка, кликните ПКМ и выберите Save as…
    2. Когда скачивание завершиться, кликните по элементу ПКМ и выберите Install.

    После этого ничего, заметного глазу, не произойдет, но реестр станет доступным.

    Также попробуйте скачать RegOrganizerPortable и запустить консоль реестра. Перейдите по пути: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem и обнулите данные DisableRegistryTools.

    Можно попробовать и другие программы для редактирования реестра, т.к., запрет на внесение изменений распространяется только на стандартную консоль Regedit в Windows. Обратите внимание на такие приложения, как:

    RegCool – бесплатная утилита с широкими возможностями, которых вы не найдете в обычном редакторе. Здесь можно изменять, копировать, восстанавливать конфигурации, назначать тонкие настройки и т. п. Программу можно запускать с флешки, не устанавливая.

    Registrar Registry Manager – функциональная и бесплатная программа для редактирования реестра, которая может заменить недоступный Regedit. Приложение способно выполнять резервное копирование и регенерацию компонентов, поиск идентичных записей, проверять работоспособность реестра, давать старт процессам.

    Registry Workshop – также достойная альтернатива стандартной консоли с более простым и понятным интерфейсом и системой поиска нужных записей. Она умеет создавать копии, менять значения для ключей, выполнять дефрагментацию. Вы можете в любой момент удалить все внесенные изменения в один клик, если что-то пошло не так.

    Запуск программы Registry Workshop

    Registry First Aid – основной ее задачей является исправление ошибок в реестре после неудачного редактирования и произведение тонких многоуровневых настроек для улучшения работоспособности Windows. Она восстанавливает записи, ищет и удаляет ложные, нефункционирующие ключи, оставшиеся после деинсталляции программ.

    KEYROLL Portable – программа с русскоязычным интерфейсом и не требующая установки. Она вполне соответствует функционалу Regedit: способна менять значения и параметры реестра. Все списки рассортированы по категориям, как в привычном приложении, также вы можете добавить собственные. Единственное условие, обязательное при работе с этим редактором, – перед каждым действием сохранять резервные копии. В нем нет такой удобной системы отката изменений, как в предыдущих приложениях.

    Кстати, с помощью любой из этих утилит вы сможете вернуть права на пользование Regedit, отредактировав соответствующую запись в реестре – DisableRegistryTools, как это описано выше.

    Редактор реестра не может задать безопасность

    Чтобы обеспечить безопасность разделов реестра воспользуйтесь настройкой разрешений при помощи regedt32 (Windows 2000) или при помощи regedit (Windows XP).
    Для примера рассмотрим ограничение доступа к ключу HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.
    Будьте осторожны и помните о том, что разрешения наследуются, т.е. разрешения, заданные для раздела, будут распространены вниз, на подразделы и параметры.
    Откройте редактор реестра и выделите ключ, разрешения на который планируется настроить. В нашем случае это HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.

    Выберите Безопасность — Разрешения и нажмите кнопку Дополнительно. Откроется окно, показанное на рисунке 2.

    Выделите в списке имя того пользователя, которому необходимо ограничить права и нажмите кнопку Показать/Изменить. Для примера я запретил себе в указанном выше разделе Задания значений. Пример такой настройки показан на рисунке 3.

    После нажатия кнопки ОК в окно, показанное на рисунке 2 добавился новый элемент. Внешний вид окна показан на рисунке 4.

    Намите ОК два раза до возврата в окно редактора реестра. Новое разрешение задано.
    Чтобы проверить, работает ли созданное ограничение, создадим reg-файл следующего содержания:

    Windows Registry Editor Version 5.00

    Скопируйте этот текст в Блокнот и сохраните под именем, например, test.reg. Чтобы Блокнот при сохранении файла не присвоил файлу расширение txt, выберите в диалоге сохранения файла Тип фалов: Все файлы и напишите имя файла с расширением, т.е. test.reg
    Этот файл после его запуска добавит в указанный ключ реестра параметр test с пустым значением. Запустим его. Будет выдан запрос, показанный на рисунке 5.

    После положительного ответа на этот запрос будет выдано следующее сообщение:

    Таким образом, настроенный запрет на добавление информации в определенный ключ реестра работает.

    Теперь необходимо пояснить смысл полномочий доступа к ключам реестра, которые показаны на рисунке 3.

    • Query Value (Запрос значения) — пользователь может запрашивать значения параметров в реестре (для этого он должен указать полный путь к интересующему параметру).
    • Set Value (Задание значения) — Пользователь может создавать новые параметры в разделе или изменять их значения.
    • Create Subkey (Создание подраздела) — Пользователь может создавать новые подразделы в заданном разделе.
    • Enumerate Subkeys (Перечисление подразделов) — Пользователь может получить список всех подразделов определенного раздела.
    • Notify (Уведомление) — Пользователь может регистрировать функцию обратного вызова (callback), запускаемую при изменении выбранных параметров.
    • Create Link (Создание связи) — Пользователь может создавать связи с нужными разделами реестра.
    • Delete (Удаление) — Пользователь может удалять параметры или разделы.
    • Write DAC (Запись DAC) — Пользователь может перезаписать настройки доступа для заданного раздела реестра.
    • Write Owner (Смена владельца) — Пользователь может стать владельцем заданного раздела реестра.
    • Read Control (Чтение разрешений) — Пользователь может читать список разрешений доступа для заданного раздела реестра.

    Как получить полный доступ к разделу реестра через реестр или командную строку?

    Получение полного доступа к разделу реестра, используя программу regedit или командную строку.

    Изменение разрешений и владельца для получения полного доступа к разделу реестра.

    1. Нажмите кнопку Пуск и введите в строке поиска regedit
    2. Щелкните на найденном правой кнопкой мыши и выберите пункт Запуск от имени администратора.
    3. Откройте раздел реестра, права которого Вы желаете изменить.
    4. В списке слева, щелкните на данном разделе реестра правой кнопкой мыши и выберите пункт Разрешения.
    5. Щелкните левой кнопкой мыши на группу Администраторы (Administrators):
    6. Установите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку ОК.
    7. Если флажок недоступен или Вы видите сообщение об ошибке, то нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
    8. Щелкните левой кнопкой мыши на свою учетную запись, установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.
    9. Выделите группу Администраторы (Administrators), установите флажок Полный доступ и нажмите кнопку ОК.
    10. Если у Вас отсутствует группа Администраторы (Administrators), то нажмите поочередно кнопки Добавить. → Дополнительно. → Поиск
    11. В результатах поиска выберите Администраторы (Administrators) и нажмите кнопку OK, и еще раз ОК.
    12. Щелкните левой кнопкой мыши на группу Администраторы (Administrators) и установите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку ОК.

    Восстановление настроек, если владельцем являлись служба TrustedInstaller или учетная запись Система.

    1. Щелкните правой кнопкой мыши на разделе реестра, права которого Вы желаете восстановить и выберите пункт Разрешения.
    2. Щелкните левой кнопкой мыши на группу Администраторы:
    3. Снимите флажок в колонке Разрешить напротив разрешения Полный доступ и нажмите кнопку Применить.
    4. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец.
    5. Нажмите кнопку Другие пользователи или группы. и в качестве имени объекта в текстовом поле введите:
    • NT SERVICETrustedInstaller , если владельцем являлась служба TrustedInstaller
    • система , если владельцем являлась учетная запись Система (в английской Windows 7 нужно вводить System)

    6.В окне Изменить владельца на: выберите TrustedInstaller или система .
    7. Установите флажок Заменить владельца подконтейнеров и объектов и нажмите кнопку ОК.

    А теперь рассмотрим как можно изменить разрешения, используя командную строку запущенную от имени администратора.
    Если после использовании команды, разрешения не сменятся, то возможно Вам придется зайти в систему под встроенной учётной записью «Администратор» для их выполнения заново.

    Изменение разрешений используя командную строку.

    1. Создайте в любом месте txt-файл (Например в папке D:Reg создайте файл regperm.txt)
    2. Добавьте в данный файл разделы реестра и присваиваемые им разрешения в следующем формате: Registryкустраздел [разрешения]

    где куст – имя куста реестра, раздел – имя раздела реестра, а [разрешения] – двоичный числовой формат разрешений.

    Обозначения используемые для кустов реестра:

    Читать еще:  Невозможно установить безопасное соединение что делать
  • Ссылка на основную публикацию
    ВсеИнструменты 220 Вольт
    Adblock
    detector