Bloquear ou desbloquear as chaves reg evitam a reescrita ou exclusão acidental ou deliberada, usando a linha de comando

3

Eu tenho este método para bloquear as chaves de registro e evitar exclusão acidental ou deliberada ou reescrita, seja por um usuário ou por malware

exemplo de chaves:

"HKEY_CLASSES_ROOT\Applications\cmd.exe"
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec"
"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT"

etc.

Proteger chaves: crie um c: \ protect.txt com este conteúdo:

HKEY_CLASSES_ROOT\Applications\cmd.exe [2 19] 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe [2 19]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec [2 19]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT [2 19]

etc

E execute o comando

regini c:\block.txt

Question: How I can reverse these changes?

Important Note: What I want is a solution to automate the process with batch (a ".bat" to block and a ".bat" to reverse/restore original permission).. but first read or export keys permission to restore

Muito obrigado.

    
por BrianC 09.07.2016 / 16:25

2 respostas

1

Como posso reverter essas mudanças?

Você pode reverter as alterações definindo que a entrada de permissão está definida como [1 17] , que é Acesso Completo aos Administradores e Acesso Completo ao Sistema.

  1. Crie um arquivo (por exemplo unblock.txt ) com o seguinte conteúdo:

    HKEY_CLASSES_ROOT\Applications\cmd.exe [1 17] 
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\cmd.exe [1 17]
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\ComSpec [1 17]
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment\PATHEXT [1 17]
    
  2. Execute o script unblock.txt usando o seguinte comando, executado a partir de um shell (%) de cmd elevado:

    regini unblock.txt
    

Notas:

  • O comando regini deve ser executado a partir de um shell (co_de%) elevado (Administrador), caso contrário, ele falhará (nenhum erro será exibido).

Leitura adicional

por 10.07.2016 / 01:10
0

Você inverterá essas alterações da mesma maneira - somente números no final de cada linha serão diferentes.

Então, por favor, planeje bem e com cuidado! (Eu sempre aconselho a todos a levarem a caneta e desenhar o desenho na folha de papel)

1) quando você está fazendo o bloqueio, você deve deixar pelo menos um usuário / grupo com direitos suficientes, não bloqueados (direitos totais, por exemplo)

2) quando você está fazendo o desbloqueio, você deve fazê-lo como aquele usuário / grupo, que tem o direito de alterar essas chaves de registro

Se você quiser saber os direitos originais (seus números), você pode usar regdmp antes de fazer qualquer alteração.

    
por 10.07.2016 / 01:17