Monitorar chave de registro alterada "WHO"

Question

Monitorar chave de registro alterada "WHO"

#1 resposta do (2 votos)

2

Eu preciso monitorar uma chave de registro específica no HKCU para alterações. Mais importante, eu preciso saber quando mudou, quem mudou (o processo) e o que mudou também.

Sei que isso pode ser feito via Proc Mon, no entanto, as complicações da situação significam que não posso instalar novos softwares externos em uma máquina que preciso monitorar. Além disso, o uso de linha de comando deste programa não é adequado para minhas necessidades.

No entanto, posso implementar um aplicativo VBS ou c # / VB pequeno, desde que seja executado silenciosamente.

Existe uma maneira simples de monitorar uma chave e, se mudar, registrar a alteração? Novamente, a coisa mais importante aqui é qual processo mudou isso.

Qualquer pensamento sobre como isso pode ser feito é apreciado.

windows windows-registry

por Damo 20.08.2012 / 16:56

1 resposta

Tags windows windows-registry

Enviando um email criptografado para uma chave pública Como executar o corte / divisão / corte automático e sem perda de arquivos de vídeo?

score 2 · Accepted Answer

Você pode usar a auditoria integrada do MS Windows para monitorar as alterações através dos logs de eventos de segurança.

Habilite o "Acesso a objetos de auditoria" por meio do grupo ou da política de segurança local. Configurações de Segurança / Política Local / Política de Auditoria / Acesso a Objetos de Auditoria (Sucesso, Falha).

Abra o Registro e ajuste as permissões no HKCU (ou na subchave específica). Permissões / Avançado / Auditoria. Adicione o usuário Todos e selecione os tipos de acesso que você deseja monitorar.

Todos os registros adicionar, remover, editar, etc serão registrados no log de eventos de segurança. Filtrar conforme necessário.