Como posso usar o Process Monitor para detectar alterações de registro feitas pelas modificações do GPEdit?

4

Supõe-se que o Monitor de processo possa capturar as alterações no registro feito por qualquer programa. Este tópico explica tudo bem (obrigado, James T).

Mas parece que as coisas não são tão fáceis quando se fala do Editor de Políticas de Grupo ( gpedit.msc ), porque estou recebendo mais de 738 eventos de registro ao tentar alterar apenas uma entrada:

User Configuration -> Administrative Templates -> Code signing for drivers

Como posso isolar a alteração específica do registro para minha alteração no GPEdit?

Novos dados:

Como sugerido por Frank Thomas (obrigado), havia apenas uma entrada RegSetValue , chamada HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify .
Essa chave BehaviorOnFailedVerify era o que eu estava mudando, mas essa chave foi alterada em vários lugares no registro:

  • Em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing conforme indicado.
  • Em HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing .
  • Em HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing .
  • Em HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing .

Isto é: quatro alterações , e apenas uma delas foi detectada pelo Process Monitor.
Isso está correto? Por quê?
Se pretender executar a mesma alteração através do comando reg (sem usar gpedit.msc , qual deles devo alterar? Todos os quatro?

Nota : Eu não expliquei, desde que não achei necessário, mas minha ideia original era ser capaz de alterar a chave BehaviorOnFailedVerify via shell remoto , como SSH ou telnet). Note-2 : Para aqueles que se perguntam o que isso altera: desativa o pedido de verificação de assinatura do driver para que nada solicite a tela ao usuário da GUI ao instalar alguns drivers não assinados como TAP- driver (rede) para instalação autônoma do OpenVPN.

    
por Sopalajo de Arrierez 28.07.2015 / 02:11

1 resposta

3

Use RegFromApp . Anexe-o ao MMC.exe que executa o gpedit e clique na seta verde para iniciar o registro. Se você alterar as entradas, a ferramenta gerará um arquivo .reg que você pode salvar e usar mais tarde novamente.

    
por 28.07.2015 / 06:30