How to backup and restore the Registry

Registry sichern und wiederherstellen

Das Bearbeiten der Windows-Registry gehört zu den Aufgaben, bei denen du unbedingt ein funktionierendes Sicherheitsnetz haben willst, bevor du loslegst. Egal ob du ein neues, per Intune ausgerolltes Remediation-Skript testest, eine Legacy-App debuggst oder ein vom Hersteller installiertes Chaos zurückdrehst – ein sauberer Workflow zum Sichern und Wiederherstellen der Registry macht aus “das könnte das Gerät zerschießen” ein “ich habe einen 30-Sekunden-Undo-Button”. Dieser Beitrag zeigt den Ansatz, den ich auf jedem Testgerät verwende und als Teil jeder Intune-Remediation ausliefere, die HKLM/HKCU anfasst – inklusive eines PowerShell-basierten Snapshots, der bestimmte Keys erfasst, den Export nach OneDrive schickt und prüft, ob die Wiederherstellung funktioniert hat.

Wenn ich etwas ausprobiere oder etwas Neues entwickle, mache ich das nicht immer in einer VM, sondern direkt auf meinem produktiven System (ich würde es nicht empfehlen, aber ich mache es trotzdem). Änderungen in der Registry können den PC jedoch in einen Zustand bringen, in dem du ihn neu aufsetzen musst. Um das zu vermeiden, schaue ich mir in diesem Blog einen Weg an, ein Backup der Registry zu erstellen, das sich zu einem späteren Zeitpunkt wiederherstellen lässt.

Was ist die Windows-Registry

Die Windows-Registry (RegEdit) ist ein Speicher, der Einstellungen für das Windows-Betriebssystem sowie für Apps ablegt. Die Registry ist eine hierarchische Datenbank. Sie enthält Konfigurationen, die unter anderem von Diensten, dem Kernel und Gerätetreibern genutzt werden.

Registry sichern und wiederherstellen
Quelle: Wikipedia

Warum du die Registry sichern und wiederherstellen solltest

Es gibt ein paar wiederkehrende Szenarien, in denen mir die Möglichkeit, die Registry zu sichern und wiederherzustellen, echte Ausfallzeit erspart hat. Das erste ist das Testen von Remediation-Skripten: Wenn du eine Proactive Remediation über Intune ausrollst, schreibt sie häufig in HKLM oder HKCU, und ein falscher Wert auf einem Pilotgerät kann den Explorer, die Defender-Policy oder eine Line-of-Business-App lahmlegen. Das zweite ist die Fehlersuche bei älterer Software, die einen Großteil ihrer Konfiguration in obskuren Registry-Keys ablegt. Das dritte ist schlicht das Experimentieren – eine undokumentierte Einstellung umzulegen, um zu sehen, was passiert.

In jedem dieser Fälle ist der Ablauf derselbe: Exportiere zuerst die betroffenen Keys, nimm deine Änderung vor, und wenn etwas schiefgeht, importiere das Backup, um zurückzurollen. Das Sichern und Wiederherstellen der Registry als feste, wiederholbare Gewohnheit zu behandeln – statt als etwas, an das du erst nach einem Schaden denkst – macht den Unterschied zwischen einer Fünf-Minuten-Wiederherstellung und einem kompletten Neuaufsetzen des Geräts.

Ein Backup erstellen

  • Öffne den Registry-Editor über das Startmenü oder Ausführen und gib regedit ein
Registry sichern und wiederherstellen Registry sichern und wiederherstellen
  • Klicke auf Datei -> Exportieren
Registry sichern und wiederherstellen
  • Gib einen Dateinamen ein und klicke auf Speichern, um die Registry am gewählten Speicherort zu sichern.
Registry sichern und wiederherstellen

Ein kleiner, aber wichtiger Tipp: Im Export-Dialog kannst du zwischen Alles und Ausgewählte Teilstruktur wählen. Für die meisten Korrekturen solltest du die ausgewählte Teilstruktur nehmen, damit die .reg-Datei nur die Keys enthält, die dich interessieren. Das hält die Datei klein und macht den Re-Import deutlich sicherer, weil du nicht versehentlich Hives mitziehst, die du nie anfassen wolltest.

Aus einem Backup wiederherstellen

  • Öffne den Registry-Editor über das Startmenü oder Ausführen und gib regedit ein
Registry sichern und wiederherstellen  Registry sichern und wiederherstellen
  • Klicke auf Datei -> Importieren
Registry sichern und wiederherstellen
  • Wähle das Backup aus und klicke auf Öffnen
Registry sichern und wiederherstellen
  • Warte, bis der Import abgeschlossen ist
Registry sichern und wiederherstellen

Wenn du diese Meldung erhältst, klicke auf OK, öffne RegEdit als Administrator und stelle sicher, dass alle Anwendungen geschlossen sind. Starte dann einen neuen Importversuch.

Registry sichern und wiederherstellen
  • Wenn der Import erfolgreich war, starte das Gerät neu.

Backup und Wiederherstellung mit PowerShell automatisieren

Die manuellen RegEdit-Schritte sind für einen Einzelfall in Ordnung, aber wenn du Remediations in größerem Maßstab ausrollst, willst du die Registry per Code sichern und wiederherstellen. PowerShell nutzt dieselbe reg.exe-Engine, sodass du einen Key exportieren, deine Änderung ausführen und ihn bei einem fehlgeschlagenen Check wieder importieren kannst. Das folgende Muster exportiert eine einzelne Teilstruktur vor jeder Änderung in eine Datei mit Zeitstempel – leg es an den Anfang deines Detection-Skripts, und du hast immer einen Rollback-Punkt.

Einen Key exportieren: reg export "HKLM\\SOFTWARE\\MyApp" "C:\\Temp\\MyApp-backup.reg" /y. Um ihn später wiederherzustellen, führst du reg import "C:\\Temp\\MyApp-backup.reg" aus einer Eingabeaufforderung mit erhöhten Rechten aus. Wenn du diese beiden Befehle in ein try/catch packst, kann das Skript die Registry automatisch sichern und wiederherstellen, sobald eine Remediation eine Exception wirft – genau das Sicherheitsnetz, das du auf produktiven Endpunkten haben willst.

Speziell für Intune lege ich den .reg-Export in einem gerätespezifischen Ordner im OneDrive des Nutzers ab, damit das Backup ein Zurücksetzen übersteht, und ich schreibe den Pfad ins IME-Log. So kann selbst jemand anderes, der das Ticket übernimmt, die Registry sichern und wiederherstellen, ohne raten zu müssen, wo der Snapshot gelandet ist. Microsoft dokumentiert das zugrunde liegende Kommandozeilen-Tool in der offiziellen reg-export-Referenz auf Microsoft Learn.

Häufige Stolperfallen beim Sichern und Wiederherstellen der Registry

Ein .reg-Import fügt nur hinzu und überschreibt die in der Datei enthaltenen Werte – er löscht keine Keys, die nach dem Export erstellt wurden. Wenn deine Änderung also einen brandneuen Key angelegt hat, entfernt der Import des alten Backups ihn nicht; du musst ihn manuell löschen. Behalte das im Kopf, wann immer du die Registry als Rollback-Strategie sicherst und wiederherstellst, denn “wiederherstellen” bedeutet hier “zusammenführen”, nicht “löschen und ersetzen”.

Zwei weitere Dinge bringen Leute zu Fall: Berechtigungen und offene Handles. Der Import nach HKLM benötigt ein RegEdit mit erhöhten Rechten, und wenn eine Anwendung einen Key offen hält, kann der Import teilweise fehlschlagen. Schließe zuerst die betroffene App. Und schließlich: Beschrifte deine Exporte klar mit Datum und Key-Namen – dein zukünftiges Ich wird es dir danken, wenn fünf .reg-Dateien im Temp-Ordner liegen und du zum richtigen Zeitpunkt zurückrollen musst.

Fazit

Gerade wenn du etwas auf einem System ausprobieren willst, ist es manchmal gut, ein Backup der Registry zu haben, um zum vorherigen Zustand zurückzuspringen. Ein solches Backup zu erstellen und wiederherzustellen ist wirklich einfach und schnell.

Bleib gesund, Cheers
Jannik