Lorsque l’on doit modifier la base de registre Windows, on peut entendre parler des ruches du registre Windows.
Mais que sont les ruches du registre Windows ? Quelles sont leurs fonctions ? où se trouvent-t-elles ?
Dans ce tutoriel, vous trouverez toutes les explications autour des ruches du registre Windows.
Table des matières
Que sont les ruches du registre Windows
Avant de commencer, il faut comprendre ce qu’est et à quoi sert la base de registre Windows.
Pour cela, suivez ce tutoriel complet :
Les ruches du registre Windows sont un ensemble de clés qui suivent une logique dans le système d’exploitation.
Par exemple, les clés liées à la configuration des logiciels, ou qui stockent les données sensibles sur les utilisateurs comme les mots de passe ou encore liés aux services Windows.
Ces ruches du registre se chargent au démarrage du système d’exploitation ou lorsqu’un utilisateur se connecte.
On les trouve sur Windows 2000, XP, Vista, 7, 8, 10 et Windows 11.
Même s’il y a eu quelques évolutions dans ces versions de Windows, le principe des ruches du registre Windows est globalement identique.
Les ruches du registre Windows se trouvent dans un emplacement spécifique du disque et sont donc très importants pour le fonctionnement général de Windows.
Si un des fichiers est endommagé, la ruche et les clés du registre ne peuvent être chargées et donc les données deviennent inaccessibles.
Selon la ruche concernée, cela peut tout simplement empêcher le chargement de Windows qui va planter lors démarrage de Windows.
On rencontre alors le message d’erreur :
Windows n’a pas pu démarrer car le fichier suivant est manquant ou endommagé : \WINDOWS\SYSTEM32\CONFIG\SYSTEM
Où se trouvent les ruches du registre Windows ?
Une ruche du registre Windows correspond à un fichier sur le disque.
Les ruches systèmes sont stockées par défaut dans le dossier : %SystemRoot%\System32\Config
La clé suivante stocke leurs emplacements :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist
Plusieurs fichiers sont présents et sont liés à des parties spécifiques de Windows.
Par exemple la base de données SAM qui stockent les mots de passe des comptes utilisateurs Windows, une autre qui stocke la configuration des logiciels installés, ….
Voici une explication autour des différents fichiers que l’on trouve dans le dossier Config :
| Extension de fichiers | Description |
| none | Une copie complète des données de la ruche. |
| .alt | A backup copy of the critical HKEY_LOCAL_MACHINE\System hive. Only the System key has an .alt file. |
| .log | Une copie de sauvegarde du critique HKEY_LOCAL_MACHINE \ SYSTEM HIVE. Seule la clé système a un fichier .alt. |
| .sav | Une copie de sauvegarde d’une ruche. Windows Server 2003 et Windows XP / 2000: copies des fichiers de la ruche car ils ont examiné la fin de la phase de mode texte dans la configuration. La configuration a deux étapes: mode texte et mode graphique. La ruche est copiée dans un fichier .sav après l’étape de la configuration en mode texte pour la protéger des erreurs pouvant survenir si l’étape de la configuration du mode graphique échoue. Si la configuration échoue pendant l’étape du mode graphique, seule l’étape du mode graphique est répétée lorsque l’ordinateur est redémarré; Le fichier .sav est utilisé pour restaurer les données de la ruche. |
Puis une description complète des ruches :
| Les ruches du registre | Les fichiers | |
|---|---|---|
| HKEY_CURRENT_CONFIG | System, System.alt, System.log, System.sav | Il ne stocke aucune information elle-même mais agit plutôt comme un pointeur, ou un raccourci, à une clé de registre qui conserve les informations sur le profil matériel actuellement utilisé. |
| HKEY_CURRENT_USER | Ntuser.dat, Ntuser.dat.log | Le profil utilisateur avec la configuration utilisateur |
| HKEY_LOCAL_MACHINE\SAM | Sam, Sam.log, Sam.sav | Security Account Manager (SAM) stocke les mots de passe de connexion |
| HKEY_LOCAL_MACHINE\Security | Security, Security.log, Security.sav | |
| HKEY_LOCAL_MACHINE\Software | Software, Software.log, Software.sav | Configuration des logiciels |
| HKEY_LOCAL_MACHINE\System | System, System.alt, System.log, System.sav | Configuration de Windows (Hardware, Services, Drivers, ….) |
| HKEY_USERS\.DEFAULT | Default, Default.log, Default.sav | Stocke la configuration utilisateur par défaut prise lors de la création d’un nouveau compte utilisateur Windows |
HKEY_LOCAL_MACHINE : Les ruches du système
HKEY_LOCAL_MACHINE stocke les données du système mais aussi la configuration des logiciels.
Pour modifier cette ruche, il faut que le compte utilisateur Windows soit administrateur.
Les informations des logiciels se trouvent dans la ruche : HKEY_LOCAL_MACHINE\Software
Cela comprends aussi les informations relatives à Windows, notamment dans la partie : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
Par exemple, des entrées de démarrage (autorun) se trouvent dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
Lorsque vous désactivez un programme au démarrage de Windows, à l’aide du gestionnaire de tâches, ce dernier modifie ces clés du registre Windows.
Mais aussi la configuration matériel dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
Les restrictions administrateurs de l’utilisateur (Policies) se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies
Enfin la configuration des services Windows se trouvent dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Si elle venait à être endommagé, Windows risque de ne pas pouvoir se charger entièrement.
HKEY_CURRENT_USER : La ruche utilisateur
La ruche de l’utilisateur est HKEY_CURRENT_USER (HKCU).
Sur le disque, elle se trouve dans le fichier NTUSER.dat à la racine du profil utilisateur.
- Pour Windows XP : C:\Documents and Settings\<user>
- Pour Windows Vista, 7, 8, 10 et Windows 11 : C:\Utilisateurs\<users>
Si l’utilisateur a des droits restreints, il ne pourra modifier le système mais seulement son profil/environnement soit donc les dossiers de son profil et la ruche HKEY_CURRENT_USER.
Ce qui permet par exemple pour chaque utilisateur d’avoir son propre fond d’écran, de configurer l’affichage des dossiers (icônes etc) comme bon lui semble.
On retrouve donc la même structure sur la partie SOFTWARE entre HEKY_LOCAL_MACHINE (tous utilisateurs) et HKEY_CURRENT_USER (utilisateurs courants).
Vous trouverez d’autres informations sur les profils utilisateurs et registre en page 2 de la page : profil utilisateur.
En réalité, HKEY_CURRENT_USERS est une image de HKEY_USERS\<SID de l’utilisateur courrant>
(SID étant les identifiants de type S-1-5-21-823518204-725345543-786100373-1005 qui identifie un utilisateur)
Le fait donc de tourner avec des droits administrateurs, en cas d’infection, rend la modification possible du système et le chargement de malware bas dans le système (drivers, services => rootkit), ou simplement le fait d’avoir une clef Run au niveau HKEY_LOCAL_MACHINE sera effectif à tous les utilisateurs.
Par exemple, le profil peut se charger avec un profil temporaire.
Comment charger les ruches du registre Windows ?
Les ruches du registre Windows étant des fichiers sur le disque, il est tout à fait possible de charger les ruches du registre Windows depuis un Windows en Dual-boot, WinRE ou depuis un Live USB de dépannage.
La plupart des éditeurs du registre Windows permettent d’importer une ruche du registre.
Par exemple sur l’éditeur du registre Windows (regedit), on trouve les menus charger et décharger la ruche.
C’est la seule méthode pour rétablir une clé du registre qui provoque un dysfonctionnement de Windows.
Le tutoriel suivant décrit la manière de charger une ruche du registre Windows :
RegBack et la sauvegarde des ruches du registre Windows
Jusqu’à la version 1803 de Windows 10, l’OS de Microsoft effectué une sauvegarde automatique des ruches du registre Windows.
C’est à dire qu’il copiait l’intégralité du registre Windows vers un dossier %SystemRoot%\System32\Config\Regback.
Cela était très pratique pour restaurer le registre Windows en cas de corruption totale car il suffisait de recopier chaque ruche dans le dossier Config.
Il est toutefois possible de réactiver cette sauvegarde automatique du registre Windows en suivant ce tutoriel :
Sinon, pour sauvegarder le registre Windows, il faut passer par un logiciel tiers. Ce tutoriel vous donne toutes les méthodes :
Comment réparer ou restaurer les ruches du registre Windows ?
La restauration du système effectue une sauvegarde du registre Windows et permet de rétablir les ruches du registre Windows en cas de corruption.
Il existe aussi quelques autres méthodes décrites dans le tutoriel suivant :
Liens
- regedit : l’éditeur du registre Windows
- 7 façons d’accéder au registre Windows
- Qu’est-ce que HKEY_LOCAL_MACHINE (HKLM)
- Qu’est-ce que HKEY_CURRENT_USER (HKCU)
- Comment désactiver l’accès au registre Windows
- Les fichiers REG : comment ça marche
- Comment réparer le registre Windows
- Comment faire une recherche dans la base de registre de Windows
- Comment modifier les autorisations des clés du registre Windows
- Sauvegarder et restaurer le registre de Windows avec WINDOWS REPAIR
- Défragmenter le registre Windows
- Comment accéder au registre Windows quand Windows est planté
- Les meilleurs logiciels pour nettoyer le registre Windows
- 5 conseils pour nettoyer le registre Windows
- Comment éditer/modifier le registre Windows depuis Ubuntu
- Restauration du registre via CD Live depuis point de restauration
- Erreur Windows\system32\config\system manquant ou endommagé sur Windows 10, 11
- Comment réparer le registre endommagé dans Windows 10, 11
- RegOwnershipEx : devenir le propriétaire d’une clé du registre Windows