Блокировка-разблокировка или создание-создание ключей reg предотвращают перезапись, случайное или преднамеренное удаление с помощью командной строки

Question

У меня есть этот метод, чтобы заблокировать ключи реестра и предотвратить случайное или преднамеренное удаление или перезапись, либо пользователем, либо вредоносным ПО

пример ключей:

"HKEY_CLASSES_ROOT\Applications\cmd.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT"

и т.п.

Защитите ключи: создайте файл ac:\protect.txt со следующим содержимым:

HKEY_CLASSES_ROOT\Applications\cmd.exe [2 19] 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe [2 19]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec [2 19]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT [2 19]

так далее

И выполнить команду

regini c:\block.txt

Вопрос: Как я могу отменить эти изменения?

Важное примечание: то, что я хочу, - это решение для автоматизации процесса с помощью пакета («.bat» для блокировки и «.bat» для отмены / восстановления исходного разрешения).. но сначала разрешение на чтение или экспорт ключей для восстановления

Большое спасибо.

Answer 1

Как я могу отменить эти изменения?

Вы можете отменить изменения, установив для записи разрешения значение [1 17] которое представляет собой Полный доступ администраторов и Полный доступ SYSTEM.

1. Создайте файл (например, unblock.txt) со следующим содержимым:

   HKEY_CLASSES_ROOT\Applications\cmd.exe [1 17] 
   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe [1 17]
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec [1 17]
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT [1 17]
   

2. Выполните unblock.txt скрипт с помощью следующей команды, запускать с повышенными привилегиями (Administrator) cmd оболочки:

   regini unblock.txt
   

Заметки:

• regini команда должна выполняться с повышенной (Administrator) cmd оболочки, в противном случае он не сможет (не будут отображаться без ошибок).

---

Дальнейшее чтение

• Индекс AZ командной строки Windows CMD - Отличный справочник по всем вопросам, связанным с командной строкой Windows.
• regini - Изменить разрешения реестра.
• Как: использовать скрипт для изменения разрешений реестра из командной строки

Answer 2

Вы отмените эти изменения таким же образом - только цифры в конце каждой строки будут отличаться.

Поэтому, пожалуйста, планируйте хорошо и тщательно! (Я всегда советую всем взять ручку и нарисовать рисунок на листе бумаги)

1) когда вы делаете блокировку, вы должны оставить как минимум одного пользователя / группу с достаточными, а не заблокированными правами (например, полные права)

2) когда вы делаете разблокировку, вы должны делать это как пользователь / группа, которые имеют право изменять эти ключи реестра

Если вы хотите узнать исходные права (их номера), вы можете использовать regdmp перед внесением любых изменений.