2

Что касается "Разрешения" в Windows, можно ли отследить или определить, "кто" на самом деле что-то меняет? (т. е. определить, какой пользователь изменяет что-либо с соответствующими разрешениями)

Например, Process Monitor может видеть, что к определенным разделам реестра обращаются и устанавливают, но также возможно ли определить, кто (какой пользователь) осуществлял доступ / изменение?

Я пытаюсь отследить конкретную учетную запись пользователя, которая что-то меняет, вместо того, чтобы волей-неволей блокировать различные учетные записи в таблице разрешений методом проб и ошибок.

|источник

1 ответ1

3

С помощью утилиты regedt32.exe можно настроить аудит для определенных частей реестра.

  • Запустите редактор реестра (regedt32.exe)
  • Выберите ключ, который вы хотите проверить (например, HKEY_LOCAL_MACHINE\Software). В меню "Безопасность" выберите "Аудит".
  • Проверьте "Разрешение аудита для существующих подразделов", если вы хотите, чтобы подразделы также подвергались аудиту
  • Нажмите кнопку "Добавить" и выберите пользователей, которых вы хотите проверить, нажмите "Добавить" и затем нажмите "ОК".
  • Когда в поле "Имена" есть имена, вы можете выбрать, какие события нужно проверять, будь то успех или неудача.
  • Когда вы заполнили всю информацию нажмите ОК

Вам нужно убедиться, что включен Аудит доступа к файлам и объектам (используйте Диспетчер пользователей - Политики - Аудит).

Для просмотра информации используйте Event Viewer и посмотрите информацию о безопасности.

Есть статья поддержки Microsoft, которая объясняет, как настроить Аудит. Он использует редактор локальной политики, который недоступен в Windows 7 Home.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .