2

Мне нужно следить за конкретным ключом реестра в HKCU на предмет изменений. Самое главное, мне нужно знать, когда это изменилось, кто изменил это (процесс) и что это изменилось тоже.

Я знаю, что это можно сделать с помощью Proc Mon, однако сложность ситуации означает, что я не могу установить новое внешнее программное обеспечение на машину, которую мне нужно отслеживать. Также использование этой программы в командной строке не подходит для моих нужд.

Тем не менее, я могу реализовать VBS или небольшое приложение на c # / VB, если оно работает тихо.

Есть ли простой способ мониторинга ключа и если он изменит запись? Опять же, самое главное, какой процесс изменил это.

Любые мысли о том, как это можно сделать, приветствуются.

|источник

1 ответ1

2

Вы можете использовать встроенный в MS Windows аудит для отслеживания изменений через журналы событий безопасности.

Включите "Аудит доступа к объектам" через групповую или локальную политику безопасности. Настройки безопасности / Локальная политика / Политика аудита / Аудит доступа к объектам (Успех, Отказ).

Откройте Реестр и настройте Разрешения на HKCU (или конкретный подраздел). Права доступа /Advanced / аудит. Добавьте пользователя Everyone и выберите типы доступа, которые вы хотите отслеживать.

Все добавления, удаления, редактирования и т.д. Будут регистрироваться в журнале событий безопасности. Фильтруйте по необходимости.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .