O log do Windows quando um usuário tenta executar um aplicativo que não está na lista de desbloqueio?

0

Pesquisei no Google vários termos de pesquisa, tentando descobrir se o Windows registra quando um usuário tenta executar um aplicativo que não está na lista de permissões e, em caso afirmativo, em qual registro de evento.

Alguém pode lançar alguma luz sobre isso?

Editado para adicionar detalhes: Estou falando de uma Whitelist com exceções a uma Política de Restrição de Software criada no Editor de Política de Grupo. Se um usuário tiver permissão para executar apenas dois executáveis (foo.exe e bar.exe) e tentar executar um terceiro executável (grapes.exe), a tentativa de executar o terceiro será registrada e, em caso afirmativo, qual é a informações registradas, e onde elas são registradas?

    
por Redblur 30.01.2015 / 17:55

1 resposta

0

Não sei ao certo o que você quer dizer com "Lista Branca" no Windows, mas esse sistema operacional salva arquivos de registro quando um programa é aberto.

Abaixo está uma lista de alguns diretórios no Windows com informações de log.

Windows Explorer

Descrição: arquivos abertos recentemente no Windows Explorer Localização: C: \ Usuários \\ AppData \ Roaming \ Microsoft \ Windows \ Itens Recentes Por que você se importa: pode ser muito útil saber quais arquivos foram abertos recentemente. Acha que alguém está acessando registros de peculato? Talvez haja um ponteiro para o arquivo do Excel aqui que pode levar você até onde os dados foram armazenados. Você também pode ver links para vídeos e imagens aqui. Eu tive essa ligação para constrangimento pessoal antes de fazer uma apresentação para a ISSA. :) Entrada por: Irongeek, mas graças a Nir.

Descrição: itens recentemente executados na barra "Executar" Localização: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU Por que você se importa: Útil para saber o que a pessoa está executando usando a barra de execução do Windows, mas no Vista e no Windows 7 muitas pessoas usam a caixa de texto "Pesquisar programas e arquivos", que não aparece nessa chave do Registro. Entrada por: Irongeek, mas graças a Nir.

Descrição: User Assist Localização: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist Por que você se importa: esta chave deve conter informações sobre programas e atalhos acessados pela GUI do Windows, incluindo contagem de execução e a data da última execução, mas a maneira como ela é armazenada é menos que óbvia. Didier Stevens tem uma ferramenta de análise dos dados aqui: link A versão que testei parece não funcionar no Windows 7, mas o Sr. Stevens está no caso. Entrada por: Irongeek, mas graças a Nir e Didier Stevens.

Descrição: registros de eventos Local: deve estar em C: \ Windows \ System32 \ config ou C: \ Windows \ System32 \ winevt \ Logs dependendo do SO Por que você se importa: eles podem ser realocados, portanto, pesquise na área de trabalho por * .evt e * .evtx. Deixe você saber todos os tipos de coisas sobre o que está acontecendo na caixa. Entrada por: Irongeek.

Esta informação foi retirada de Irongeeks, você pode procurar por "UserAssist Didier Stevens" se você quiser que um programa GUI exiba programas abertos.

Por favor, note que eu não posso postar um link para estas duas coisas, porque eu vou ser acusado de spam e promover um site.

    
por 30.01.2015 / 18:15