Menu Fermer

Que sont les ruches du registre Windows

Lorsque l’on doit modifier la base de registre Windows, on peut entendre parler des ruches du registre Windows.
Mais que sont les ruches du registre Windows ? Quelles sont leurs fonctions ? où se trouvent-t-elles ?

Dans ce tutoriel, vous trouverez toutes les explications autour des ruches du registre Windows.

Que sont que les ruches du registre Windows

Que sont les ruches du registre Windows

Avant de commencer, il faut comprendre ce qu’est et à quoi sert la base de registre Windows.
Pour cela, suivez ce tutoriel complet :

Les ruches du registre Windows sont un ensemble de clés qui suivent une logique dans le système d’exploitation.
Par exemple, les clés liées à la configuration des logiciels, ou qui stockent les données sensibles sur les utilisateurs comme les mots de passe ou encore liés aux services Windows.
Ces ruches du registre se chargent au démarrage du système d’exploitation ou lorsqu’un utilisateur se connecte.
On les trouve sur Windows 2000, XP, Vista, 7, 8, 10 et Windows 11.
Même s’il y a eu quelques évolutions dans ces versions de Windows, le principe des ruches du registre Windows est globalement identique.

Les ruches du registre Windows se trouvent dans un emplacement spécifique du disque et sont donc très importants pour le fonctionnement général de Windows.

Si un des fichiers est endommagé, la ruche et les clés du registre ne peuvent être chargées et donc les données deviennent inaccessibles.
Selon la ruche concernée, cela peut tout simplement empêcher le chargement de Windows qui va planter lors démarrage de Windows.
On rencontre alors le message d’erreur :

Windows n’a pas pu démarrer car le fichier suivant est manquant ou endommagé : \WINDOWS\SYSTEM32\CONFIG\SYSTEM

Où se trouvent les ruches du registre Windows ?

Une ruche du registre Windows correspond à un fichier sur le disque.
Les ruches systèmes sont stockées par défaut dans le dossier : %SystemRoot%\System32\Config

La clé suivante stocke leurs emplacements :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
La clé hivelist stocke l'emplacement des ruches du registre Windows

Plusieurs fichiers sont présents et sont liés à des parties spécifiques de Windows.
Par exemple la base de données SAM qui stockent les mots de passe des comptes utilisateurs Windows, une autre qui stocke la configuration des logiciels installés, ….

Qu'est-ce que les ruches du registre Windows

Voici une explication autour des différents fichiers que l’on trouve dans le dossier Config :

Extension de fichiersDescription
noneUne copie complète des données de la ruche.
.altA backup copy of the critical HKEY_LOCAL_MACHINE\System hive. Only the System key has an .alt file.
.logUne copie de sauvegarde du critique HKEY_LOCAL_MACHINE \ SYSTEM HIVE. Seule la clé système a un fichier .alt.
.savUne copie de sauvegarde d’une ruche.
Windows Server 2003 et Windows XP / 2000: copies des fichiers de la ruche car ils ont examiné la fin de la phase de mode texte dans la configuration. La configuration a deux étapes: mode texte et mode graphique. La ruche est copiée dans un fichier .sav après l’étape de la configuration en mode texte pour la protéger des erreurs pouvant survenir si l’étape de la configuration du mode graphique échoue. Si la configuration échoue pendant l’étape du mode graphique, seule l’étape du mode graphique est répétée lorsque l’ordinateur est redémarré; Le fichier .sav est utilisé pour restaurer les données de la ruche.
Les extensions de fichiers de la ruche de Windows C:\Windows\System32\Config

Puis une description complète des ruches :

Les ruches du registreLes fichiers
HKEY_CURRENT_CONFIGSystem, System.alt, System.log, System.savIl ne stocke aucune information elle-même mais agit plutôt comme un pointeur, ou un raccourci, à une clé de registre qui conserve les informations sur le profil matériel actuellement utilisé.
HKEY_CURRENT_USERNtuser.dat, Ntuser.dat.logLe profil utilisateur avec la configuration utilisateur
HKEY_LOCAL_MACHINE\SAMSam, Sam.log, Sam.sav Security Account Manager (SAM) stocke les mots de passe de connexion
HKEY_LOCAL_MACHINE\SecuritySecurity, Security.log, Security.sav
HKEY_LOCAL_MACHINE\SoftwareSoftware, Software.log, Software.savConfiguration des logiciels
HKEY_LOCAL_MACHINE\SystemSystem, System.alt, System.log, System.savConfiguration de Windows (Hardware, Services, Drivers, ….)
HKEY_USERS\.DEFAULTDefault, Default.log, Default.savStocke la configuration utilisateur par défaut prise lors de la création d’un nouveau compte utilisateur Windows
Les fichiers et description des ruches du registre Windows

HKEY_LOCAL_MACHINE : Les ruches du système

HKEY_LOCAL_MACHINE stocke les données du système mais aussi la configuration des logiciels.
Pour modifier cette ruche, il faut que le compte utilisateur Windows soit administrateur.

Les informations des logiciels se trouvent dans la ruche : HKEY_LOCAL_MACHINE\Software
Cela comprends aussi les informations relatives à Windows, notamment dans la partie : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

Par exemple, des entrées de démarrage (autorun) se trouvent dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

Lorsque vous désactivez un programme au démarrage de Windows, à l’aide du gestionnaire de tâches, ce dernier modifie ces clés du registre Windows.

HKEY_LOCAL_MACHINE  : Les ruches du système

Mais aussi la configuration matériel dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
Les restrictions administrateurs de l’utilisateur (Policies) se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies
Enfin la configuration des services Windows se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Cette ruche est donc extrêmement important pour le fonctionnement général du système.
Si elle venait à être endommagé, Windows risque de ne pas pouvoir se charger entièrement.

HKEY_CURRENT_USER : La ruche utilisateur

La ruche de l’utilisateur est HKEY_CURRENT_USER (HKCU).
Sur le disque, elle se trouve dans le fichier NTUSER.dat à la racine du profil utilisateur.

  • Pour Windows XP : C:\Documents and Settings\<user>
  • Pour Windows Vista, 7, 8, 10 et Windows 11 : C:\Utilisateurs\<users>

Si l’utilisateur a des droits restreints, il ne pourra modifier le système mais seulement son profil/environnement soit donc les dossiers de son profil et la ruche HKEY_CURRENT_USER.
Ce qui permet par exemple pour chaque utilisateur d’avoir son propre fond d’écran, de configurer l’affichage des dossiers (icônes etc) comme bon lui semble.

On retrouve donc la même structure sur la partie SOFTWARE entre HEKY_LOCAL_MACHINE (tous utilisateurs) et HKEY_CURRENT_USER (utilisateurs courants).

HKEY_CURRENT_USER : La ruche utilisateur

Vous trouverez d’autres informations sur les profils utilisateurs et registre en page 2 de la page : profil utilisateur.
En réalité, HKEY_CURRENT_USERS est une image de HKEY_USERS\<SID de l’utilisateur courrant>
(SID étant les identifiants de type S-1-5-21-823518204-725345543-786100373-1005 qui identifie un utilisateur)

Le fait donc de tourner avec des droits administrateurs, en cas d’infection, rend la modification possible du système et le chargement de malware bas dans le système (drivers, services => rootkit), ou simplement le fait d’avoir une clef Run au niveau HKEY_LOCAL_MACHINE sera effectif à tous les utilisateurs.

Si cette ruche du registre Windows venait à se corrompre, vous pouvez rencontrer des erreurs au moment de charger le profil utilisateur.
Par exemple, le profil peut se charger avec un profil temporaire.

Comment charger les ruches du registre Windows ?

Les ruches du registre Windows étant des fichiers sur le disque, il est tout à fait possible de charger les ruches du registre Windows depuis un Windows en Dual-boot, WinRE ou depuis un Live USB de dépannage.
La plupart des éditeurs du registre Windows permettent d’importer une ruche du registre.
Par exemple sur l’éditeur du registre Windows (regedit), on trouve les menus charger et décharger la ruche.

Comment charger les ruches du registre Windows ?

C’est la seule méthode pour rétablir une clé du registre qui provoque un dysfonctionnement de Windows.

Le tutoriel suivant décrit la manière de charger une ruche du registre Windows :

RegBack et la sauvegarde des ruches du registre Windows

Jusqu’à la version 1803 de Windows 10, l’OS de Microsoft effectué une sauvegarde automatique des ruches du registre Windows.
C’est à dire qu’il copiait l’intégralité du registre Windows vers un dossier %SystemRoot%\System32\Config\Regback.

Cela était très pratique pour restaurer le registre Windows en cas de corruption totale car il suffisait de recopier chaque ruche dans le dossier Config.
Il est toutefois possible de réactiver cette sauvegarde automatique du registre Windows en suivant ce tutoriel :

Comment activer la sauvegarde automatique du registre Windows dans RegBack sur Windows 10

Sinon, pour sauvegarder le registre Windows, il faut passer par un logiciel tiers. Ce tutoriel vous donne toutes les méthodes :

Comment réparer ou restaurer les ruches du registre Windows ?

La restauration du système effectue une sauvegarde du registre Windows et permet de rétablir les ruches du registre Windows en cas de corruption.
Il existe aussi quelques autres méthodes décrites dans le tutoriel suivant :