Interdire l'accès à Regedit et au Registre Windows

La manière la plus simple de modifier le Registre Windows consiste à utiliser regedit.exe, un petit utilitaire faisant partie de Microsoft Windows. Regedit.exe est disponible dans tous les ordinateurs sous Windows. Il est accessible aux utilisateurs simples et aux administrateurs (avec des fenêtres plus ou moins ouvertes sur le contenu du registre, selon le niveau de privilèges de l'utilisateur).

Les manipulations peuvent se faire manuellement ou en faisant interpréter à regedit un fichier d'ordres dont le suffixe est .reg.

Donc :

• Un utilisateur, même sans être administrateur, peut modifier le Registre Windows, ce qui peut être problématique.
• Un cybercriminel peut faire pénétrer un fichier .reg et le faire exécuter afin de modifier le Registre Windows. Cette opération s'appelle un hijack. Si le cybercriminel arrive à pénétrer l'ordinateur alors que l'utilisateur a des privilèges d'administrateur, le cybercriminel bénéficie des mêmes privilèges, raison pour laquelle il faut toujours travailler sous un compte simple (il n'est d'aucune nécessité ni d'aucune utilité de disposer des privilèges les plus élevés, cela est même très dangereux).

Il faut donc interdire l'accès au programme regedit.exe mais ce n'est pas suffisant car il existe des dizaines de programmes gratuits, plus puissants que regedit. Il faut donc interdire l'accès au registre Windows lui-même. Seul l'administrateur pourra y avoir accès après une manipulation qu'il ne pourra exécuter qu'en s'identifiant en tant qu'administrateur.

Tout cela sous-entend que l'ordinateur n'est pas en libre accès et que les utilisateurs doivent s'identifier par un compte (voir l'article UAC).

Sous un compte administratif, cliquez sur le bouton démarrer et lancez regedit :

Demandez à l'utiliser avec vos privilèges d'administration

Acceptez la demande d'élévation de privilèges

Dans le panneau de gauche de regedit, descendre les hiérarchies jusqu'à la clé :
HKEY_CURRENT_USER Software Microsoft Windows Current Version Policies System.

Nous noterons désormais HKEY_CURRENT_USER par son abréviation HKCU.

Dans cette clé, vous devriez trouver une valeur appelée DisableRegistryTools qui doit se trouver actuellement à 0 (zéro). Il faut mettre cette valeur à 1 (un).

Si la valeur DisableRegistryTools n'existe pas, il faut la créer. Création :

Double cliquez sur la valeur DisableRegistryTools et la mettre à 1.
Validez (clic sur OK)

Recommencez la même manipulation pour la même valeur DisableRegistryTools dans la clé :
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System

Double cliquez sur la valeur DisableRegistryTools et la mettre à 1.
Validez (clic sur OK)

Il n'est désormais plus possible d'accéder au programme RegEdit
Fermez regdit.
Tentez de relancer regedit (il n'est pas nécessaire de redémarrer l'ordinateur).
Désormais, vous recevez un message d'avertissement bloquant (même si vous êtes administrateur et avez demandez l'exécution en mode administrateur).

Cette modification n'est pas courante et peut être provoquée par un Hijacker qui vous empêcherait ainsi de corriger / restaurer des modifications apportées à votre registre par un cybercriminel. Donc, Malwarebytes Anti-Malware vous le signale.

Autoriser l'accès à Regedit et au Registre Windows

Autoriser l'accès à Regedit et au Registre Windows