冊表是Windows的核心組件，一旦其受損很容易導致系統崩潰。Windows 10 1803之前的版本，系統默認會對注冊表進行自動備份，但是之后的版本卻默認將這個功能關閉了。那么對于1803之后的Windows 10系統，如何才能恢復對注冊表的自動備份呢？當注冊表出現問題后又該如何進行恢復？下面就給大家提供幾個解決方案。

修改注冊表恢復自動備份功能

對于升級到1803之后的Windows 10系統，我們可以通過修改注冊表的方法重新開啟注冊表自動備份功能，下面以Windows 10 18362.175版本為例說明。

啟動注冊表編輯器后，在左側導航欄中依次點擊定位到[HKLM\System\CurrentControlSet\Control\Session Manager\Configuration Manager]項，然后在右側窗格空白處右擊，選擇“新建→DWORD(32位)值”，按提示新建一個名為“EnablePeriodicBackup”的項,并將其值設置為“1”（圖1）。

圖1 新建EnablePeriodicBackup項

設置完畢重啟系統，Windows 10就會自動備份注冊表至“C:\Windows\System32\config\RegBack”文件夾中了，打開該文件夾即可看到自動備份的文件（圖2）。

圖2 查看注冊表文件

系統命令快速恢復備份的注冊表

從上述文件夾里可以看到，系統備份的是注冊表各大主鍵文件。因為系統在運行的時候，這些鍵值文件會被系統調用，因此如果要進行注冊表的恢復，我們需要進入修復模式進行替換。

右擊任務欄上的“開始”按鈕，依次點擊打開“設置→更新和安全→恢復”，然后單擊右側窗格中“高級啟動”下的“立即重新啟動”（圖3）。

圖3 高級啟動

重啟電腦后進入高級啟動菜單，按提示依次點擊“疑難解答→高級選項”，接著在高級選項窗口點擊“命令提示符”（圖4）。

圖4 高級選項

啟動命令提示符后，按提示輸入下列命令進行注冊表文件的替換，最后重啟系統即可。這里需要注意的是，注冊表恢復可能會造成嚴重后果，替換之前請做好數據的備份工作（圖5）：

cd C:\Windows\System32\config\RegBack

rem 查看備份的注冊表文件

dir

rem 將備份的注冊表文件替換

copy *.* C:\Windows\System32\config\

圖5 替換注冊表文件

靈活備份及恢復部分注冊表

上述方法是備份整個注冊表，恢復操作比較麻煩。如果只是備份注冊表的部分數據，那么還可以使用注冊表編輯器的自身功能來實現。比如IE主頁的設置鍵值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]，為了防止其他程序更改主頁設置，那么可以在系統正常時候啟動注冊表編輯器，定位到該鍵值后，接著點擊“文件→導出”，將上述鍵值導出備份為“ie.reg”（圖6）。

圖6 備份注冊表部份鍵值

以后如果發現自己的IE主頁設置被惡意更改，那么只要雙擊上述導出的注冊表文件，將其導入注冊表中覆蓋被篡改的設置即可（圖7）。

圖7 恢復注冊表鍵值

自建腳本備份及恢復注冊表

可以看到Windows 10注冊表文件實際上就是C:\Windows\System32\config下的“Default”、“SAM”、“Security”、“Software”和“System”這5個文件，系統自動備份雖然方便，但是我們卻不知道系統會在什么時候創建備份。因此對于經常需要備份注冊表文件的用戶，我們還可以自己建立自動備份腳本。

在筆者的電腦上，首先在D盤根目錄下建立一個名為“back”的文件夾，接著啟動記事本新建一個文件，并將其保存為腳本文件back.bat，放置在D盤根目錄下。腳本文件中的代碼如下：

copy C:\Windows\System32\config\Default d:\back

copy C:\Windows\System32\config\SAM d:\back

copy C:\Windows\System32\config\Security d:\back

copy C:\Windows\System32\config\Software d:\back

copy C:\Windows\System32\config\System d:\back

代碼的意思是是使用Copy命令將上述注冊表文件復制到D:\back下保存。這樣當我們需要備份注冊表時，同上進入高級啟動選項，啟動命令提示符后按提示輸入“D:\back.bat”即可自動完成注冊表文件的備份了（圖8）。

圖8 自動備份注冊表

如果需要恢復注冊表時，同上進入D:\back后，使用“copy d:\back\*.* C:\Windows\System32\config”進行文件的恢復即可。

安全研究人員發現了Windows10和windows11操作系統中的一個漏洞，該漏洞允許低級用戶訪問敏感的注冊表數據庫文件后，獲得本地計算機的管理員權限。

注冊表充當Windows操作系統的配置存儲庫，包含密碼、用戶自定義、應用程序的配置選項、系統解密密鑰等。

在研究過程中，他們發現，即使沒有管理員權限，Windows用戶也可以訪問注冊表數據庫的機密文件，以便獨立地提高系統中的權限級別。

同時，與注冊表關聯的數據庫文件位于C:\Windows\system32\config文件夾中。這些是SYSTEM、SECURITY、SAM、DEFAULT和SOFTWARE文件。因為這些文件包含有關Windows功能使用的所有設備用戶帳戶和安全令牌的機密信息；普通用戶不應該訪問它們。對于安全賬戶管理器（SAM）文件來說尤其如此；因為它存儲了系統上所有用戶的密碼。

任何人都可以讀取SAM文件

通過研究，安全人員發現windows10和windows11 sam相關的注冊表文件，以及其他注冊表數據庫，都可以供低權限的設備用戶使用。這意味著即使沒有管理員權限，攻擊者也可以提取設備上所有賬戶的NTLM密碼，通過pass-the-hash攻擊中使用它們來提升權限。盡管像SAM這樣的文件總是被系統使用，并且試圖訪問它們的嘗試將被拒絕，但系統會創建這些文件的隱藏副本，攻擊者在此類攻擊中使用這些副本。

例如，可以使用以下方法 Win32 設備命名空間路徑進行卷影復制，以便計算機上的任何用戶訪問 SAM 文件。

\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

根據現有數據，具有普通權限的用戶首次能夠在 Windows 10 (1809) 訪問這些文件。

奇怪的是，從6月份開始安裝新版本的Windows 1020H2時，問題好像還是存在。

要檢查Windows 10或Windows 11的安裝是否受到影響，可以打開命令提示符然后輸入以下命令：

icacls c:\windows\system32\config\sam

如果輸出顯示以下權限，則您安裝的Windows將受到該漏洞的影響。

BUILTIN\Users:(I)(RX)

微軟已經確認該漏洞的存在，并分享了一個臨時解決辦法。

微軟已經確認了問題，并且正在標識符CVE-2021-36934下跟蹤該漏洞。開發人員還提出了一個臨時選項來更改訪問設置；這將避免與此漏洞相關的潛在問題。

微軟發言人對此發表了相關看法。“我們正在調查情況，如有必要，將采取適當措施保護客戶。”

要暫時阻止對該漏洞的攻擊，您需要采取以下步驟：

限制對%windir%\system32\config的內容的訪問：

1. 以管理員身份打開命令提示符或Windows PowerShell。
2. 運行此命令：icacls %windir%\system32\config\*.* /inheritance:e

刪除卷影復制服務（VSS）卷影副本：

1. 刪除在限制訪問%windir%\system32\config之前存在的所有系統還原點和卷影卷。
2. 創建新的系統還原點（如果需要）。

引用

https://www.bleepingcomputer.com/news/microsoft/new-windows-10-vulnerability-allows-anyone-to-get-admin-privileges/