4

Предполагается, что Process Monitor может фиксировать изменения реестра, сделанные любой программой. Эта ветка объясняет это прекрасно (спасибо вам, Джеймс Т).

Но кажется, что не все так просто, когда речь идет о редакторе групповых политик (gpedit.msc), потому что я получаю более 738 зарегистрированных событий при попытке изменить только одну запись:

User Configuration -> Administrative Templates -> Code signing for drivers

Много захваченных данных

Как изолировать конкретное изменение реестра для выполненного изменения GPEdit?

Новые данные:

По предложению Фрэнка Томаса (спасибо), была только одна запись RegSetValue именем HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify .
Этот ключ BehaviorOnFailedVerify был тем, что я менял, но такой ключ был изменен в нескольких местах в реестре:

  • В HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing как указано.
  • На HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing .
  • По HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing .
  • По HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing .

Это: четыре изменения, и только одно из них было обнаружено Process Monitor.
Это правильно? Зачем?
Если вы делаете вид, что делаете то же самое изменение с помощью команды reg (без использования gpedit.msc , что мне следует изменить? Все четыре?

Примечание: я не объяснял, пока не считал это необходимым, но моя первоначальная идея состояла в том, чтобы иметь возможность изменять ключ BehaviorOnFailedVerify через удаленную оболочку, например, SSH или telnet). Примечание-2: Для тех, кто интересуется, что это меняет: он отключает запрос проверки подписи драйверов, поэтому ничто не предлагает пользователю графического интерфейса при установке некоторых неподписанных драйверов, таких как TAP-драйвер (сеть), для автоматической установки OpenVPN.

1 ответ1

3

Вместо этого используйте RegFromApp . Прикрепите его к MMC.exe который запускает gpedit, и нажмите зеленую стрелку, чтобы начать регистрацию. Если вы измените записи, инструмент создаст файл .reg, который вы сможете сохранить и использовать позже.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .