Estructura del Registro de Windows: claves HKLM, HKCU, HKCR, HKU y auditoría del sistema

Registro de Windows

Registro: Se almacena por categorías. Se guarda en valores binarios. Cada elemento tiene su ACL (lista de control de acceso), propietario y controles de auditoría. Físicamente, la mayoría de las colmenas se almacenan en %windir%\System32\config, excepto HKCU, que se almacena en %SystemDrive%\Users\<usuario>\NTUSER.DAT.

Principales colmenas (hives)

• HKLM → Información del equipo local: datos de hardware, software y del sistema operativo (S.O.).
• HKCR → Contiene asociaciones de archivos y la base de datos del registro OLE.
• HKCU → Contiene el perfil del usuario que inició sesión actual, así como las variables de entorno, configuración de escritorio, red, etc.
• HKU → Contiene una entrada para cada usuario que haya iniciado sesión en el equipo.
• HKCC (HKEY_CURRENT_CONFIG) → Contiene información para la configuración del hardware del equipo al iniciarse. Se usa para configurar opciones como controladores y resolución de pantalla a utilizar.

Detalles de HKCU

• AppEvents → Asociación de eventos/sonidos.
• Console → Ajustes en la consola de comandos.
• ControlPanel → Salvapantallas, escritorio, etc.
• Environment → Variables de entorno definidas para este usuario.
• KeyboardLayout → Disposición del teclado.
• Network → Mapeado de unidades de red y ajustes.
• Printers → Impresoras conectadas.
• Software → Preferencias de software específicas de este usuario.

Detalles de HKLM

• Hardware → Información sobre el hardware y los controladores.
• SAM → Información sobre las cuentas de usuario, grupos locales y contraseñas (Security Account Manager).
• Security → Información de seguridad.
• Software → Información del sistema que no es necesaria durante el arranque.
• System → Información necesaria para el arranque: qué drivers cargar y qué servicios iniciar.

Visor de eventos

El Visor de eventos se ejecuta con eventvwr. Permite consultar diferentes registros principales:

• Registro de aplicación → Contiene los sucesos registrados por las aplicaciones. Es el propio programador el que decide qué eventos se registran.
• Registro de sistema → Eventos generados por componentes y servicios en Windows.
• Registro de seguridad → Asociado a acciones como eliminar o mover archivos, accesos, inicios de sesión y otros eventos sujetos a auditoría. Un administrador puede controlar qué se audita.

Auditar el sistema

Auditoría recomendada: auditar acceso a objetos, acceso a directorios, cambios de directivas, seguimiento de procesos, uso de privilegios, administración de cuentas, inicios de sesión, intentos de inicio de sesión de cuentas y sucesos del sistema.

Auditar acceso a claves del registro

Pasos básicos para habilitar la auditoría en una clave del Registro:

1. Seleccione la clave en el Editor del Registro.
2. Haga clic derecho sobre la clave → Permisos...
3. En la ventana de permisos, haga clic en Opciones avanzadas.
4. Vaya a la pestaña Auditoría → Agregar y configure los usuarios/acciones a auditar.

Con esto se registrarán en el Registro de seguridad los eventos definidos según la configuración de auditoría.