Wijzigingen in het register van Windows achterhalen
Van tijd tot tijd raden we aan om voor bepaalde instellingen een REG-bestand te gebruiken. Met een REG-bestand maak je wijzigingen in het Windows-register zonder dat je moeizaam hoeft te graven in de Register-editor. Het is uiteraard mogelijk om zo’n bestand ook zelf te maken.
REG-bestanden zijn handig om zeer verspreide of lastig benaderbare wijzigingen in een Windows-systeem in één keer toe te passen. Dan is het namelijk een kwestie van één keer dubbelklikken en een tweetal dialoogvensters doorklikken. De meeste instellingen die je bij Windows uitvoert, hebben een equivalent in de vorm van een registersleutel. Bovendien zijn er instellingen die je anders niet in de Home Edition van Windows zou kunnen uitvoeren, bijvoorbeeld omdat daar de Group Policy Editor voor nodig is. Met een aanpassing van de registerwaarden kun je de instellingen in Windows dan alsnog uitvoeren.
In veel gevallen kun je zelf een REG-bestand aanmaken. We laten dat zien aan de hand van een voorbeeld: een REG-bestand dat het gebruik van de reclame-id uitschakelt. Dat doet daarmee hetzelfde als het uitschakelen van de optie ‘Laat apps uw reclame-id gebruiken...’ bij de Privacy-instellingen van Windows 10.
WAT ZIT WAAR?
De eerste stap is om uit te zoeken waar in het register de tegenhanger staat van de instelling die je wilt wijzigen, zoals een instelling die je normaal uitvoert via Instellingen-app, het Configuratiescherm of de Editor voor lokaal groepsbeleid. De tool Process Monitor van Microsofts Sysinternals-suite is daar uitstekend geschikt voor (zie de link op de laatste pagina van dit artikel). Daarmee kun je alle benaderingen die in het systeem plaatsvinden loggen, dus bijvoorbeeld
benaderingen van bestanden en mappen, het starten en eindigen van processen en threads, en dus ook activiteiten van het register. Process Monitor geeft voor elk event de exacte tijd, naam en ID van het proces dat het event heeft geactiveerd, het pad, mogelijke details en het type bewerking dat heeft plaatsgevonden, zoals het lezen van een bestand, het schrijven van een registersleutel, het maken van een thread, etc.
De stroom aan events is onoverzichtelijk groot. Zelfs een idle Windows voert op de achtergrond talloze acties per seconde uit, soms wel tot in de honderden of duizenden. Download Process Monitor en start het gewoon maar eens – de razendsnel groeiende lijst van events ziet er op het eerste gezicht niet alleen erg lang, maar meestal ook erg cryptisch uit.
Daarom biedt het programma krachtige filters. De belangrijkste daarvan bereik je door met de rechtermuisknop op een gelogd event te klikken en het element van een event waar je op klikt uit te sluiten of juist exclusief te selecteren, dus bijvoorbeeld de naam van een proces, het operation-type of het bestands- of registerpad.
Als je uitsluitend op registeractiviteiten wilt filteren, dan sluit je operation-types zoals ReadFile, CreateFile en Thread Exit uit totdat er alleen maar items in de lijst staan die beginnen met Reg.
Als je, zoals in ons geval, wijzigingen in de registerwaarden wilt monitoren, is er een eenvoudigere manier. Start de Process Monitor en stop het loggen door te klikken op het vergrootglaspictogram in de werkbalk (of door te drukken op Ctrl+E) en maak vervolgens de lijst leeg door te klikken op het gumsymbool (Ctrl+X). Schakel dan de activiteitcategorieën ‘File System’, ‘Network’ en ‘Process and Thread’ uit door de corresponderende pictogrammen op de werkbalk uit te schakelen. In de afbeelding op de volgende pagina zie je welke pictogrammen geselecteerd zijn – een mouse-over helpt om de juiste pictogrammen te identificeren.
Open in het menu ‘Filter’ op de menubalk de filterinstellingen via de optie ‘Filter...’ (of met Ctrl+L). Maak een nieuw item aan. Onder ‘Display entries matching these conditions’ waar de standaardoptie Architecture is geselecteerd, kies je de optie Category en Write in het lege uitklapmenu – op die manier beperk je het loggen tot wijzigingen in registerwaarden. De volledige conditieregel luidt dan: ‘Category is Write then Include’. Voeg de entry toe door op Add te klikken en bevestig met OK.
Klik nogmaals bij de menubalk op menu-item Filter en plaats een vinkje voor ‘Drop Filtered Events’. Als je het loggen dan weer activeert (door opnieuw te klikken op het vergrootglaspictogram of met Ctrl+E), zal Process Monitor alleen nog maar schrijf- en verwijder-events van registerwaarden loggen.
Om de lijst met registerevents in Process Monitor kort en overzichtelijk te houden, open je eerst de instellingentool die de optie bevat die je wilt loggen – dus de Instellingen-app, het Configuratiescherm of de Editor voor lokaal groepsbeleid. Navigeer naar de juiste functie. Klik in Process Monitor op het vergrootglaspictogram om het loggingproces te starten, wissel naar het venster om de gewenste instelling(en) in of uit te schakelen, en ga weer terug naar het Process-Monitor-venster om het loggen daar vervolgens weer te stoppen.
Aangezien er altijd wel registeractiviteiten van andere processen tegelijk draaien, is het handig om het Instellingen-programma toe te voegen als inperkingsfilter. Dat kan heel eenvoudig door het Vizier-pictogram op de Process-Monitor-werkbalk naar het venster te slepen van het proces waarop je wilt filteren – in ons voorbeeld van het uitschakelen van de reclame-id daarom dus de Instellingen-app.
Dan kun je live zien wat het omschakelen van de knop doet: de veranderingen vinden plaats in de sleutel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\AdvertisingInfo. Wanneer de reclame-id wordt ingeschakeld, wijzigt de waarde van het item Enabled naar 1 en wordt er een tweede item aangemaakt die Id heet. Die krijgt een waarde die uit een schijnbaar willekeurige combinatie van 32 tekens bestaat. Als je de reclame-id weer uitschakelt, wordt Enabled ingesteld op 0 en wordt het item Id verwijderd.
VERPAKKEN
Om een REG-bestand te maken van de eerder ingestelde registerinstellingen, open je de Register-editor
(Windows-toets, regedit, Enter) en ga je naar de juiste sleutel. Als je Process Monitor toch open hebt staan, kan dat ook makkelijker: klik met de rechtermuisknop het veld Path van de betreffende registerwijziging en klik dan op ‘Jump to...’. Daarmee opent de Register-editor op precies de juiste plaats.
De gemarkeerde sleutel kun je via het menu-item ‘Bestand / Exporteren…’ naar een REG-bestand schrijven. Zorg er in ieder geval voor dat de optie ‘Geselecteerde subsleutel’ onder Exportbereik geselecteerd is, anders zal de editor proberen het volledige register in een REG-bestand in te pakken. Een geëxporteerde sleutel bevat altijd alle items en subsleutels. De regels die je niet nodig hebt, kun je eenvoudig verwijderen via het Kladblok van Windows
toe. Als er in een REG-bestand na het gelijkteken geen waarde volgt maar alleen een minteken, wordt het genoemde item niet gewijzigd, maar verwijderd. Het volledige REG-bestand ziet er in Kladblok dan uit zoals in de afbeelding op de vorige pagina. Met een REG-bestand kun je ook sleutels verwijderen. Ook dat is te vinden in de documentatie van Microsoft (zie de link).
Als je tijdens het experimenten merkt dat het importeren van een REG-bestand niet het gewenste effect heeft, dan kan het vaak helpen om het systeem te herstarten. In tegenstelling tot de Instellingen-toepassing informeert de Register-editor de rest van het systeem namelijk niet dat er iets gewijzigd is.
CONCLUSIE
Met Process Monitor kun je voor diverse Windows-instellingen de bijbehorende register-items achterhalen en die in slechts enkele stappen naar een REG-bestand schrijven. Dat is vooral handig om een reeks instellingen snel op een systeem toe te passen. Op die manier kun je bijvoorbeeld een REG-bestand maken waarmee je niet alleen individuele instellingen kunt toepassen, maar ook taken kunt uitvoeren die nodig zijn na een schone herinstallatie van het systeem – zoals het uitschakelen van het zoeken op internet in het Startmenu en de hardeschijfruimte die is gereserveerd voor updates, of de klassieke Windows Photo Viewer weer gebruiken om foto’s weer te geven, en ga zo maar door.
Process Monitor heeft echter wel zijn grenzen als het gaat om instellingen die je alleen via een registeritem kunt wijzigen – naar de kennis daarvoor moet je zelf op zoek in bijvoorbeeld de documentatie of forumbijdragen van Microsoft zelf en van ontwikkelaars, of van mensen die al veel tijd besteed hebbenen aan het zoeken naar en speuren in locaties in het register.