Schlagwort-Archive: Registry

Secure Boot: Status abfragen

Secure Boot ist eine Funktion neuerer UEFI-Firmware, die nur zertifizierte Bootloader akzeptiert und damit vor Rootkits schützen kann. Kehrseite der Medaille: Auch nicht zertifizierte Linux-Systeme haben aktuell ihre liebe Not, sich an dieser Funktion vorbei zu booten. Neben ersten, noch nicht voll überzeugenden Lösungsansätzen steht die simple Maßnahme, „Secure Boot“ im UEFI-Setup einfach abzuschalten, bevor man ein alternatives System starten möchte. Nicht ganz komfortabel, aber immerhin machbar.

Secure Boot ist auf neueren PCs mit vorinstalliertem Windows 8 Standard. Der Status dieser Schutzfunktion lässt sich über die Registry abfragen:

HKLM\System\CurrentControlSet\Control\SecureBoot\State

DWord-Eintrag: UEFISecureBootEnabled
Wert 1: Aktiviert
Wert 0: Abgeschaltet

EFS-Verschlüsselung im Explorer-Kontext

Die EFS-Verschlüsselung auf NTFS-Laufwerken erlaubt transparente Verschlüsselung am lokalen Rechner. Das heisst: Die verschlüsselten Daten sind im eigenen Konto ganz normal zu benutzen, ohne Konto-Anmeldung aber unlesbar. Das gilt auch für Fremdsysteme, welche den Datenträger einlesen.

Wer die EFS-Verschlüsselung bequemer bedienen will (als über Rechtsklick und „Eigenschaften –> Allgemein –> Erweitert –> Inhalt verschlüsseln“), kann sich im Explorer ein Kontextmenü für alle Dateiobjekte einrichten:

Registry-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
DWord: EncryptionContextMenu
Wert: 1

Windows Store abschalten

In Firmennetzen, aber auch auf privaten PCs mit mehreren Benutzern ist das unkontrollierte Installieren von Apps oft nicht erwünscht. Windows 8 unterstützt das Verbot der Store-App mit einer Registry-Policy. Die lässt sich für das komplette System einrichten (HKLM) oder auch nur für ein bestimmtes Benutzerkonto (HKCU).

Der einschlägige Registry-Schlüssel für das aktive Benutzerkonto lautet

HKCU\Software\Policies\Microsoft\WindowsStore

Auf einem neuen System müssen Sie den Schlüssel „WindowsStore“ erst mal manuell einfügen (nach Rechtsklick „Neu, Schlüssel“). Im rechten Wertefenster tragen Sie dann nach Rechtsklick und „Neu, DWORD-Wert (32-Bit)“ die Policy

RemoveWindowsStore

hinzu und schalten sie nach Doppelklick mit dem Wert „1“ scharf.

Mit „0“ können Sie das Verbot jederzeit zurücksetzen. Ein- wie Ausschalten des Verbots funktioniert im laufenden System.

Parameter für Regedit

regedit [Pfad\Name].reg
importiert die Reg-Datei in die Registrierdatenbank, gleichbedeutend mit einem Doppelklick auf die Reg-Datei

regedit /m
startet eine weitere Instanz („m“ für „multi“?) des Registriereditors

regedit /e [Pfad\Name].reg
exportiert die gesamte Registry als Unicode-Datei

regedit /a [Pfad\Name].reg
exportiert die gesamte Registry als Ansi-Datei (platzsparender und in allen Editoren lesbar)

Erweiterte Systemrichtlinien

Microsoft hat eine Excel-Tabelle mit sämtlichen Gruppenrichtlinien veröffentlicht, die Windows 8 ermöglicht. Diese Tabelle zeigt die Policies der Windows NT-Produktlinie seit Windows 2000, die neu hinzugekommenen Policies sind aber leicht herauszufiltern.
Einen Filterauszug der etwa 150 neuen Richtlinien bietet meine Tabelle
W8-New-Policies.
Der Auszug zeigt, dass sich die neuen Richtlinien nur zum Teil auf neue Systemfunktionen beziehen. Dazu gehören unter anderem der Internet Explorer 10, Windows to go, Windows Store, Benachrichtigungsfunktionen, Multimonitor-Funktionen, hybrides Booten oder auch das Explorer-Ribbon.
Daneben erhalten aber auch zahlreiche bewährte Komponenten zusätzliche Verbotsoptionen, so etwa die Bitlocker-Laufwerksverschlüsselung, Offline-Dateien, Startmenü oder Taskbar. Erhebliche zusätzliche Limitierungen sind generell für den klassischen Desktop vorgesehen, um Anwender zum Einsatz der sichereren Metro-/Modern-UI-Programme zu zwingen. So lässt sich etwa der Start von Desktop-Programmen durch Doppelklick auf verknüpfte Benutzerdateien komplett verbieten.

Registry (Registrierdatenbank)

Funktion
Die Registry ist die Konfigurationszentrale für System, Hardware, Software und Benutzeroberfläche. Sie enthält fundamentale Informationen über Bootvorgänge, Treiber und Authentifizierung ebenso wie marginale Ansichtsoptionen von Ordnern.

Speicherort 1 (System)
%windir%\System32\Config (mit den Dateien System, Software, Drivers, Default, Components, Security, Sam)

Speicherort 2 (User-Registry)
%userprofile%\Ntuser.dat (enthält alle Einstellungen des jeweiligen Benutzerkontos)

Zugriffstools
Regedit, Reg, Powershell, Subinacl, *.REG-Import, API, etc. etc.

Die Hauptschlüssel
HKCR   Hkey_Classes_Root (virtueller Schlüssel, eigentlich HKLM\Software\Classes)
HKCU  Hkey_Current_User (virtueller Schlüssel, eigentlich HKU\[User-SID])
HKLM Hkey_Local_Machine
HKU    Hkey_Users
HKCC  Hkey_Current_Config (temporärer Schlüssel)

Eingriffe, auch fehlerhafte, unter HKCR, HKCU, HKU, HKCC sind fast immer harmlos, wenngleich eventuell irritierend oder lästig. Wirklich gravierend sind Fehler unter HKLM. dazu einige besonders kritische Beispiele:

Boot-kritisch               HKLM\System\MountedDevices
System-kritisch          HKLM\System\CurrentControlSet\Control\
System-kritisch          HKLM\System\CurrentControlSet\Services
Hardware-kritisch     HKLM\System\CurrentControlSet\Enum
Shell-kritisch              HKLM\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon

Registry-Vorteile: zentral, schnell und sprachunabhängig, API, einfache und komfortable Import- und Exportfunktionen, Zugriffsrechte.

Registry-Nachteile: heterogener Datenhaufen (Hardware, Software, Sicherheit etc.), mühsame Migration und Fehlersuche, Fragmentierung, Dateitypen-Konflikte. Jede unbedeutende Software kann tonnenweise Einträge an verschiedenen Stellen streuen. Reparaturen setzen funktionierende Windows-API voraus; notfalls ist ein Zweitsystem wie WinPE oder WinRE erforderlich (Regedit kann mit „Datei, Struktur laden“ den Registry-Zweig eines anderen Windows-Systems einbinden, ändern und zurückschreiben).

USB-Policies

Bereits installierte USB-Geräte verbieten: Windows bereits bekannte USB-Geräte kann man in vielen Fällen sehr einfach durch einen Registry-Eingriff verbieten. Der Schlüssel heisst

Hkey_Local_Machine\System\CurrentControlSet\Services\USBSTOR

Der zugehörige Dword-Eintrag „Start“ wird auf Wert „4“ gesetzt. Die Einstellung wirkt sofort (ohne Neuanmeldung, Neustart) – unter Umständen jedoch gar nicht, wie ich auf einem Rechner mit USB-Hub beobachten musste.

Cmd-Befehl (Admin-Rechte notwendig):
reg add HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /f /t reg_dword /v Start /d 0x4
Zurück auf Standard mit:
reg add HKLM\SYSTEM\CurrentControlSet\services\USBSTOR /f /t reg_dword /v Start /d 0x2

Neue USB-Geräte verbieten: Der Anschluss bisher unbekannter USB-Geräte ist mit sanften Mitteln nicht zu verbieten, weil dies den unvermeidlichen Plug & Play-Dienst auf den Plan ruft. Es gibt aber eine sehr simple Methode, neue USB-Geräte fernzuhalten – einfach die Datei Usbstor.inf unter \Windows\Inf umbenennen. Konten mit eingeschränkten Benutzerrechten können diesen Vorgang nicht rückgängig machen (selbst wenn die Benutzer den Vorgang durchschauen). PC-Administratoren, die ein neues USB-Gerät anschließen wollen, müssen der INF-Datei vorher wieder ihren Originalnamen geben. Mit dem Tool USBDeview lässt sich prüfen, welche USB-Geräte auf dem System bereits installiert sind und gegebenenfalls deinstallieren. Dazu muss USBDeview mit Admin-Rechten gestartet sein.

Schreiben via USB verbieten: Windows kann seit XP per einfacher Registry-Regel alle USB-Geräte schreibschützen. Der einschlägige Schlüssel lautet

Hkey_Local_Machine\System\CurrentControlSet\Control\StorageDevicePolicies

und der dort notwendige DWORD-Eintrag „WriteProtect“ mit Wert „1“.

Cmd-Befehl (Admin-Rechte notwendig):
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /f /t reg_dword /v WriteProtect /d 0x1
Zurück auf Standard mit:
reg add HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies /f /t reg_dword /v WriteProtect /d 0x0

Windows 8: Startmenü aktivieren

Re-Aktivieren des Startmenüs unter Windows 8

Wer unter Windows 8 sein gewohntes Startmenü nutzen will, kann dies mit einer kleinen Registry-Änderung erreichen. Der einschlägige Schlüssel lautet Hkey_Current_User/Software/Microsoft/Windows/CurrentVersion/Explorer. Dort muss nur der bereits existierende DWord-Wert RPEnabled von 1 auf 0 gesetzt werden. Die geänderte Einstellung wird sofort wirksam.
Nebenwirkungen: Mit der Rückkehr zum traditionellen Startmenü entfällt nicht nur der Metro-Startbildschirm. Danach erhält auch der Windows-Explorer wieder seine alte Oberfläche ohne das neue Ribbon-Menü, und die Systemmeldungen im Metro-Design werden durch Explorer-Meldungen ersetzt. Nicht zuletzt erscheint am Desktop ein Meldungstext, der den getätigten Registry-Eingriff moniert, ja inkriminiert.

Registry-Eingriff zum Reaktivieren des alten Startmenüs
Registry-Eingriff zum Reaktivieren des alten Startmenüs

Wenn Sie nicht selbst in die Registry eingreifen wollen, können Sie diese Registry-Importdateien (Startmenü ein und aus) im ZIP-Archiv verwenden:
Startmenu.ZIP (Registry-Import)