[English]Den meisten Windows Insidern ist der Schlüssel RunOnce in der Registrierung schon mal untergekommen. Dort können Programme und Dienste einen Befehl eintragen, der einmalig beim nächsten Windows-Start ausgeführt und dann gelöscht wird. Windows unterstützt aber diverse Optionen, um die Auswertung des Schlüssels im abgesicherten Modus zu erzwingen oder das Löschen des Eintrags zu verhindern, falls der Befehl nicht ausgeführt werden konnte.
Anzeige
Ich selbst habe den Schlüssel RunOnce in der Registrierung, den es maschinenbezogen (HKLM) und nutzerbezogen (HKCU) gibt, eigentlich noch nie gebraucht, wusste aber, dass es ihn gibt.
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Programme legen gerne einen Eintrag ab, um nach der Installation beim ersten Start bestimmte Sachen starten zu können. Aber auch Malware könnte sich dort einnisten.
Ähnlich wie obiger Twitter-Nutzer habe ich gestaunt, dass Microsoft inzwischen, seit 2018, eine Webseite mit weiteren Details zu den Keys Run und RunOnce veröffentlicht hat (habe ich meine Registry-Bücher wohl 20 Jahre zu früh bei Microsoft veröffentlicht – konnte ja schließlich keiner ahnen). Standardmäßig wird der Wert des RunOnce-Schlüssels vor dem Ausführen der Befehlszeile gelöscht. Microsoft schreibt aber:
Anzeige
Sie können dem Namen eines RunOnce-Werts ein Ausrufezeichen (!) voranstellen, um das Löschen des Werts bis nach der Ausführung des Befehls aufzuschieben. Ohne das Ausrufezeichen wird das zugehörige Programm beim nächsten Start des Computers nicht zur Ausführung aufgefordert, wenn der RunOnce-Vorgang fehlschlägt.
Und es gibt noch eine Option; ein dem Namen eines Werts vorangestelltes Sternchen (*) bewirkt, dass der RunOnce-Eintrag im abgesicherten Modus nicht ignoriert, sondern ausgeführt wird.
Wichtig: Ein Programm, das über einen dieser Schlüssel ausgeführt wird, sollte während seiner Ausführung nicht in den Schlüssel schreiben, da dies die Ausführung anderer unter dem Schlüssel registrierter Programme stören würde. Anwendungen sollten den RunOnce-Schlüssel nur für vorübergehende Bedingungen verwenden, z. B. um die Einrichtung der Anwendung abzuschließen. Eine Anwendung darf nicht ständig neue Einträge unter RunOnce erstellen, da dies das Windows-Setup beeinträchtigt.
Anzeige
Danke für den Tipp. Da fällt mir gleich ein, sowas könnte man Monitoren….
Zum härten die Berechtigungen des Schlüssel in der Registry einschränken. Fertig. Allerdings verwendet auch Microsoft RunOne bei einigen Updates. Also vor einem Update oder einer Softwareinstallation wieder freigeben. Ist zwar mühselig aber wer sicher gehen will….
Berechtigungen von Schlüsseln in der Registry einzuschränken kann böse Nebenwirkungen haben.
Welche denn? Ich habe ja geschrieben "zum härten". Das bedeutet, dass es unverändert bleiben soll. Ansonsten, wenn man das nicht will, kann man das nur "Monitoren" bzw. überwachen.
Das BSI empfiehlt das auch in seiner Dokumentation "Empfehlung zur Konfiguration der Protokollierung in Windows 10". Dabei wird das Auditing über eine ACL aktiviert.
Microsoft unterstützt auch noch den Schlüssel RunOnceEx, der standardmäßig nicht angelegt ist. Aber wenn vorhanden wird auch dieser ausgewertet. Schadsoftware kann sich auch diesen Schlüssel zu nutze machen.
Siehe hier:
https://support.microsoft.com/de-de/topic/beschreibung-des-registrierungsschl%C3%BCssels-runonceex-b85fcbfa-281f-96cb-defc-27ef4ab38142