Редактор реестра (Regedit)
Для запуска редактора реестра необходимо нажать кнопку Пуск,выбрать пункт меню “Выполнить”
Теперь вводим regedit и нажимаем кнопку “ОК”
После этого запустится редактор реестра.
Внимание! Если вы единственный пользователь компьютера и при запуске редактора реестра выдается сообщение-“Запуск редактора реестр запрещен Администротором”,то с большой вероятности можно утверждать, что у Вас на компьютере завелся вирус/троян.
REG-файл
REG-файл — это текстовый файл с расширением REG, составленный в определенном формате.
Формат REG-файла
Ниже приводится пример REG-файла, отключающего меню недавних документов.
Создание REG-файла
Создать REG-файл очень просто. Скопируйте код в любой текстовый редактор (например, Блокнот). Нажмите CTRL+S и сохраните файл с любым именем и расширением .reg, заключая оба в кавычки, чтобы избежать расширения txt.
Рисунок 2 — Создание REG-файла
Синтаксис REG-файла
- Windows Registry Editor Version 5.00 — заголовок файла, являющийся его неотъемлемой частью. Также в качестве заголовка вы можете встретить REGEDIT4 — это формат Windows 98 / NT 4.0, который впрочем поймут и более новые операционные системы Windows. Подробнее о различиях в форматах можно прочитать на сайте JSO FAQ (на английском языке).
- ;Отключить меню недавних документов — комментарий. Все строки, начинающиеся с ; (точка с запятой) представляют собой комментарии.
- [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] — это раздел реестра. Графически (в редакторе реестра) он представляет собой путь к параметру. В формате REG-файлов разделы всегда заключаются в квадратные скобки. В этом примере (под)раздел Explorer принадлежит разделу HKEY_CURRENT_USER.
- «NoRecentDocsMenu»=hex:01,00,00,00 — параметр реестра и его значение. В зависимости от значения параметра, меняется поведение операционной системы или объекта. Многие параметры можно настроить в графическом интерфейсе операционной системы, но далеко не все. В таких случаях для изменения параметра используют редакторы реестра, твикеры или REG-файлы.
В REG-файле может содержаться несколько разделов и параметров реестра, но заголовок используется только в самом начале.
Данный REG-файлом был получен путем экспорта из редактора реестра regedit.exe. При помощи REG-файлов можно вносить изменения в системный реестр — эта операция называется импортом параметров реестра.
Импорт ключа реестра с помощью файла Reg
Когда вы импортируете ключ реестра из файла .reg, он перезаписывает текущие ключи и значения данных в вашем реестре содержимым файла .reg. Прежде чем выполнять импорт ключей реестра рекомендуется создать точку для восстановления системы.
1. Откройте проводник (Win + E) и перейдите к местоположению файла .reg, который вы хотите импортировать.
2. Откройте нужный файл .reg
3. “Разрешить этому приложению вносить изменения на вашем устройстве” – нажмите “Да”.
4. Нажмите на “Да” и в следующем окне на “ОК”.
Шаг 2. Перенести сертификат с Windows на мак
Например, если сертификат установлен в реестре на компьютере с Windows.
Сначала сертификат нужно оттуда «вытащить» в формате pfx.
Для этого на компьютере с Windows найдите приложение «Выполнить».
Зайдите в него и наберите в строке certmgr.msc → OK.
Личное → Сертификаты → Находите нужный сертификат Контура → Кликните по нему 2 раза. Чтобы выбрать правильный сертификат, можете ориентироваться на дату его действия.
В появившемся окне зайдите на вкладку Состав → Копировать в файл.
→ Да, экспортировать закрытый ключ → Далее.
А тут отметьте галочками поля «Включить по возможности все сертификаты в путь сертификации», «Экспортировать расширенные свойства» и «Включить конфиденциальность сертификата» → Далее.
Лучше придумать пароль, пусть даже несложный → Далее.
Пароль нужен для того, чтобы безопасно перенести сертификат с Windows на мак. Вы ведь будете это делать по почте или мессенджеру, а это не самые защищенные каналы.
Назовите свой сертификат любым именем на латинском → Далее.
Если система не просит никакого пароля — замечательно. Сохранить сертификат → Готово. Вам останется перенести его по почте или телеграму на мак, например, на рабочий стол.
А если выпадет окошко с вводом пароля, то придётся вспомнить пароль, который вы устанавливали на сам сертификат ещё при его выпуске. Это не тот пароль, который вы придумывали пару шагов назад — он понадобится позже.
На маке: откройте Finder → Программы → Утилиты → Терминал → Вставьте: /opt/cprocsp/bin/certmgr -install -pfx -file путь до pfx -pin пароль от pfx
Но перед этим в местах, выделенных жирным, вставьте нужное.
Путь до pfx получается хитро — нажмите на ваш сертификат правой кнопкой → зажмите cntrl и alt одновременно → в выпадающем меню появится команда «Скопировать путь до…». Она вам и нужна, нажимайте.
Пароль — тот, что вы устанавливали пару шагов назад на Windows.
Если всё хорошо, то на экране терминала появится: «certificates imported successfully».
Как скопировать сертификат в реестр
Процесс копирования закрытых ключей с флешки на ПК состоит из нескольких этапов: настройки считывателей, самого копирования и установки.
Настройка считывателя
Для установки реестра в список считывателей ключевых носителей пользователь должен:
- запустить КриптоПро от имени администратора;
- через «Оборудование» нажать «Настроить считыватель»;
- в открывшемся новом окне нажать кнопку «Добавить»;
- затем в мастере установки выбрать, какой считыватель необходимо добавить (реестр, смарт-карту, диски и т.д.);
- последовательно нажать «Далее» и «Готово».
Для последующей корректной работы необходимо перезагрузить компьютер.
Копирование
Для копирования сертификата в реестр лучше воспользоваться программой КриптоПро. Пользователь запускает программу и нажимает «Запустить с правами администратора».
Затем переходим во вкладку «Сервис» и жмем «Скопировать».
Откроется окно «Контейнер закрытого ключа», в нем нажмите на кнопку «Обзор» и выберите сертификат, который необходимо скопировать.
В поле «Имя ключевого контейнера» имя отразится в нечитаемом формате. Это нормально.
Нужно нажать «ОК» и «Далее», после чего откроется окно для ввода пин-кода от USB-носителя.
Если пароль не менялся, то стандартный будет:
- для Рутокен для пользователя: 12345678;
- для Рутокен для администратора:87654321;
- для eToken: 1234567890.
После пин-кода нужно задать новое имя личного сертификата в реестре. В КриптоПро это сделать просто.
Теперь нужно переложить сертификаты в реестр.
Последний шаг — после копирования контейнера задаем новый пароль.
На этом процесс копирования закрытого ключа электронной подписи закончен.
Установка
После копирования установить сертификат ЭЦП на компьютер с флешки в реестр можно 2 способами:
- через установку личных сертификатов;
- через просмотр сертификатов в контейнере.
Оба способа используют программу КриптоПро CSP.
Через раздел личных сертификатов
Как установить ЭЦП в реестр при условии, что на ключевом носителе имеется папка *.000 и файл .cer:
- Запустить КриптоПро и выбрать «Установить личный сертификат» через вкладку «Сервис».
- В мастере установки сертификатов нажать «Далее» и через «Обзор» выбрать расположение файла сертификата.
- В новом окне нужно выбрать «Мой компьютер» и далее вид съемного носителя, который содержит закрытый ключ. Затем нажать «Открыть»;
- Далее в соответствующей строке прописывают расположения файла сертификата.
- Затем нужно проверить данные сертификата, который необходимо установить, и нажать «Далее».
- Следующий шаг — это в новом окне выбор ключевого контейнера через кнопку «Обзор».
- В списке выбираем реестр, после чего нажимаем «Ок».
- В строке с именем ключевого контейнера должен автоматически прописаться контейнер с закрытым ключом. Нажать «Далее».
- Через «Обзор» выбираем хранилище сертификата.
- Через папку «Личные» выбираем папку «Реестр», а затем нажимаем «Далее».
Последний шаг — завершить установку нажатием кнопки «Готово».
Через несколько секунд система выдаст сообщение об успешном завершении установки сертификата электронной подписи.
Через просмотр сертификатов
Данный способ подходит в том случае, если имеется только папка вида *.000.
Для установки нужно:
- Запустить КриптоПро.
- Через «Сервис» перейти на вкладку «Просмотреть сертификаты в контейнере».
- Затем выберите носитель через кнопку «Обзор» и в открывшемся окне выделите нужный реестр.
- В строке с именем контейнера должна быть информация о контейнере с закрытым ключом, если все верно, то нужно нажать «Ок».
- Затем в окне с информацией нужно нажать «Свойства».
- После проверки данных нажать кнопку «Установить».
- В открывшемся мастере импорта нужно выбрать хранилище. Для этого сначала ставят галочку напротив «Поместить все сертификаты в…» и нажимают «Обзор».
- Затем через папку «Личные» выбрать папку с носителем реестром и в строке «Название хранилища» нажать «Далее».
В завершении установки нужно лишь «Готово» в мастере установки.
1. Экспорт ключей реестра через regedit
Классический редактор реестра, который доступен пользователю ещё с самых древних версий Windows, позволяет не только отредактировать ключи, но и сделать бекап реестра.
Начинаем с того, что запускаем редактор реестра. Для этого нажмите комбинацию клавиш Win+R и введите команду regedit. Откроется окно редактора:
Кликаем на самую корневую ветку — «Компьютер», а затем выбираем пункт меню Файл >> Экспорт:
Откроется окошко «Экспорт файла реестра». Тут нужно выбрать папку, в которую сохраним свежий бэкап и указать его имя:
В нижней части окна будет область «Диапазон выбора» — поставьте галку на значение «Весь реестр». Нажимаем кнопку «Сохранить». В папке появится файл с расширением REG.
Редактирование реестра Windows из командной строки
Утилита командной строки REG.EXE присутствует во всех версиях операционных систем семейства Windows и используется для добавления, изменения, удаления и просмотра параметров и ключей реестра.
Формат командной строки:
Операции:
QUERY — поиск и отображение содержимого реестра.
ADD — добавление новых разделов и записей в реестр.
DELETE — удаление разделов и записей из реестра.
EXPORT — экспорт данных реестра в .reg-файл.
IMPORT — импорт данных реестра из .reg-файла.
SAVE — сохранение данных реестра в файл.
RESTORE — восстановление данных реестра из файла.
LOAD — загрузка куста реестра
UNLOAD — выгрузка куста реестра в файл, ранее загруженный операцией LOAD.
COMPARE — сравнение разделов и параметров реестра.
FLAGS — отображение или изменение флагов разделов реестра.
COPY — копирование разделов и записей из реестра.
Код возврата: (за исключением REG COMPARE):
0 – Успешно
1 — С ошибкой
Для каждой операции, задаваемой в командной строке REG, используются свои параметры. Для получения справки по определенной операции введите:
Результат выполнения операции зависит от прав пользователя по отношению к данным реестра. Редактирование реестра является потенциально опасной операцией и при необдуманных или ошибочных действиях может привести к неработоспособности системы. Прежде, чем вносить какие-либо изменения в реестр, нужно сделать его резервную копию и освоить процедуру восстановления системы в случае ее краха по причине неверного содержимого реестра, в том числе, и для случаев, когда загрузку Windows выполнить невозможно.
1. REG QUERY – отобразить содержимое реестра.
Параметры командной строки:
имяраздела — может включать имя удаленного компьютера в формате компьютерполноеимяраздела . Если имя компьютера не задано, то по умолчанию используется текущий компьютер. На удаленных компьютерах доступны только разделы HKLM и HKU.полноеимяраздела — путь в форме корневойразделподраздел. Корневой раздел — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя раздела реестра в указанном корневом_разделе.
/v — Запросы требуемых параметров в указанном разделе реестра. Если не указано, запрашиваются все параметры раздела. Аргумент этого параметра может быть необязательным, только если задан параметр /f. Это указывает на поиск только в именах параметров реестра.
/ve — Запросы параметра по умолчанию или с пустым именем (по умолчанию).
/s — Запрос всех вложенных подразделов и их параметров (аналогично команде dir /s).
/se — Указание разделителя (длиной в 1 знак) в строке данных для REG_MULTI_SZ. По умолчанию в качестве разделителя используется « ».
/f — Данные или шаблон для поиска. Если строка содержит пробелы, заключайте ее в кавычки. Значение по умолчанию: «*».
/k — Указывает на поиск только в именах разделов.
/d — Указывает на поиск только в данных.
/c — Указывает на учет регистра знаков при поиске. По умолчанию при поиске регистр знаков не учитывается.
/e — Указывает на возврат только точных совпадений. По умолчанию возвращаются все совпадения.
/t — Указывает тип данных параметра реестра. Допустимые типы: REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE. По умолчанию будут использоваться все типы.
/z — Подробности: отображение числового кода типа имени значения.
Пример:
REG QUERY HKLMSoftwareMicrosoftResKit /v Version — отобразить значение параметра реестра Version
2. REG ADD — добавить или заменить существующий параметр реестра.
Параметры командной строки:
имя_раздела — [ ] . Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.
Раздел — КОРЕНЬ . КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.
/v — Имя параметра, добавляемого в выбранный раздел.
/ve — Добавление параметра с пустым именем (по умолчанию) в этот раздел.
/t — Тип данных: [ REG_SZ | REG_MULTI_SZ | REG_EXPAND_SZ | REG_DWORD | REG_QWORD|REG_BINARY | REG_NONE ]. Если не указывается, то по умолчанию используется REG_SZ.
/s — Символ, используемый в качестве разделителя данных для параметров типа REG_MULTI_SZ. Если не указан, то в качестве разделителя используется « ».
/d — Значение, присваиваемое добавляемому параметру реестра.
/f — Принудительно перезаписывает существующую запись реестра без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
REG ADD HKLMSoftwareMyCo /v Data /t REG_BINARY /d fe340ead — Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead)
3. REG DELETE — удалить существующий параметр реестра.
Параметры командной строки:
имя_раздела — [ ] . Компьютер — имя удаленного компьютера. Если оно опущено, то по умолчанию используется локальный компьютер. На удаленном компьютере доступны только корневые разделы HKLM и HKU.
Раздел — КОРЕНЬ . КОРЕНЬ — [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в указанном корневом разделе.
имя_параметра — Имя параметра, удаляемого из выбранного раздела. Если оно опущено, удаляются все подразделы и значения указанного раздела.
/ve — Удаляет пустое имя параметра (по умолчанию).
/va — Удаляет все параметры в указанном разделе.
/f — Выполняет принудительное удаление без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
REG DELETE HKLMSoftwareMyCoMyAppTimeout — Удаляет раздел реестра Timeout и все его подразделы и параметры.
4. REG EXPORT — экспорт данных реестра в файл.
Параметры командной строки:
имя_раздела — в виде КОРЕНЬ (только локальный компьютер). КОРЕНЬ может быть [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в одном из выбранных корневых разделов.
имя_файла — путь и имя файла в который экспортируются данные реестра.
/y — Выполнение замены существующего файла без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
Ошибка копирования контейнера
Для того, чтобы скопировать контейнер для хранения закрытого ключа сертификата штатным средством, необходимо в Панели управления открыть оснастку CryptoPro, перейти в раздел Сервис и нажать Скопировать.
Далее вы выбираете текущий контейнер, который хотите скопировать. Это может быть либо токен, либо реестр компьютера. Затем новое имя и новое расположение контейнера. Опять же, это может быть как реестр, так и другой токен.
Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Если получили такую ошибку, то для вас этот способ переноса не подходит. Можно сразу переходить к следующему.
Отдельно расскажу, как скопировать сертификат и закрытый ключ к нему в файл, чтобы перенести на другой компьютер без использования токена. Штатные возможности CryptoPro не позволяют скопировать закрытый ключ в файл.
Запускаем Internet Explorer, открываем его настройки и переходим на вкладку Содержание. Там нажимаем на Сертификаты.
Выбираем нужный сертификат и нажимаем Экспорт.
Если у вас после слов «Экспортировать закрытый ключ вместе с сертификатом» нет возможности выбрать ответ «Да, экспортировать закрытый ключ«, значит он не помечен как экспортируемый и перенести его таким способом не получится. Можно сразу переходить к другому способу, который описан ниже.
Если же такая возможность есть, то выбирайте именно этот пункт и жмите Далее. В следующем меню ставьте все галочки, так вам будет удобнее и проще в будущем, если вдруг опять понадобится копировать ключи уже из нового места.
Укажите какой-нибудь пароль и запомните его! Без пароля продолжить нельзя. В завершении укажите имя файла, куда вы хотите сохранить закрытый ключ. Теперь вам нужно скопировать сам сертификат. Только что мы копировали закрытый ключ для него. Не путайте эти понятия, это разные вещи. Опять выбираете этот же сертификат в списке, жмите Экспорт и выберите файл формата .CER.
Сохраните сертификат для удобства в ту же папку, куда сохранили закрытый ключ от него.
Вам достаточно перенести эти 2 файла на другой компьютер и кликнуть по каждому 2 раза мышкой. Откроется мастер по установке сертификатов. Вам достаточно будет выбрать все параметры по-умолчанию и понажимать Далее. Сертификат и контейнер закрытого ключа к нему будут перенесены на другой компьютер.
Я описал первый способ переноса в ручном режиме. Им можно воспользоваться, если у вас немного сертификатов и ключей. Если их много и руками по одному переносить долго, то переходим ко второму способу.
Это самый простой способ, и будет актуальным при небольшом количестве контейнеров с закрытыми ключами. Чтобы выполнить перенос сертификатов из реестра, откройте ваш КриптоПРО, вкладка «Сервис», нажимаем кнопку «Сервис», далее через кнопку «Обзор», откройте «Выбор ключевого контейнера» и укажите, какой сертификат вы будите переносить. В моем примере это контейнер «Копия сертификата в реестре (Семин Иван)».
Нажимаем «Далее», вас попросят задать новое имя контейнера с закрытым ключом, введите понятное для себя, для удобства.
У вас откроется окно с выбором носителей, вы можете выбрать либо токен, либо флешку для переноса на другое место. У меня это внешний жесткий диск Z:.
Задаем обязательно пароль, с точки зрения безопасности, так как файлы в таком виде просто скомпрометировать.
Все, на выходе я получил папку со случайным названием и набором ключей в формате key.
Если вы пытаетесь копировать сертификат с токена, то в ряде случаев у вас может появиться ошибка: Ошибка копирования контейнера. У вас нет разрешений на экспорт ключа, потому что при создании ключа не был установлен соответствующий флаг. Ошибка 0x8009000B (-2146893813) Ключ не может быть использован в указанном состоянии.
Связана такая ситуация, что в целях псевдобезопасности, удостоверяющие центры выпускают закрытые ключи без возможности экспорта, и таким образом увеличивают свою прибыль, так как в случае утери или поломки токена, вам придется его перевыпускать, а так как экспорт запрещен, то бэкапа вы сделать не сможете.
Если вы получили ошибку копирования контейнера. У вас нет разрешений на экспорт ключа, то метод с КРиптоПРО вам не поможет
Копирование контейнера из реестра другого пользователя
1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:
- для 32-битной ОС: HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsUsers*идентификатор пользователя*Keys*Название контейнера*;
- для 64-битной ОС: HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS*идентификатор пользователя*Keys*Название контейнера*.
2. После того, как нашли нужную ветку, нажмите правой кнопкой мыши на ветку с контейнером и выберите «Экспортировать».
3. Введите имя файла и нажмите на кнопку «Сохранить».
4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.
5. Пройдите диагностику на сайте https://help.kontur.ru .
6. Как диагностика закончится, нажмите на ссылку «Показать результаты».
7. В списке результатов выберите «Информация о Windows». Скопируйте оттуда SID текущего пользователя.
8. Откройте экспортированный файл реестра с помощью «Блокнота».
9. Замените SID пользователя на скопированный ранее.
Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:
10. Сохраните изменения и закройте файл.
11. Снова нажмите на файл правой кнопкой мыши и выберите «Слияние». В появившемся окне нажмите «Да».
Должно появиться сообщение о том, что данные успешно внесены в реестр. Нажмите «ОК».
Если появляется сообщение «Ошибка при доступе к реестру», необходимо еще раз проверить все пути в файле на корректность. Также проверьте, чтобы в пути не было лишних пробелов, знаков.
12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).
Другие статьи по теме Установка, настройка и работа в Контур.Экстерн