Logs de auditoria para alterações no caminho do ambiente

2

Algo (ou alguém) continua mudando as variáveis do caminho do ambiente em vários de nossos servidores. Eu tenho a Política de Auditoria (sob sec local sec) definida como Success, Failure para todos, exceto o Process Tracking (que é apenas falha). No entanto, quando são feitas alterações no caminho do ambiente, não consigo localizar onde o log de auditoria da alteração está sendo registrado.

Alguém pode me indicar na direção em que encontraria o log de alterações da variável de ambiente do caminho (ou como habilitar a auditoria para alterações no caminho do ambiente, se ainda não o fez)?

Estou no Windows Server 2012 Standard.

    
por John S. 23.07.2015 / 15:17

1 resposta

0

A variável do caminho da máquina é armazenada no registro em:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path

as variáveis do usuário estão em:

HKEY_CURRENT_USER\Environment

Para auditar objetos no Windows, é necessário fazer duas coisas.

Primeiro, ligue a auditoria, o que você já fez.

deve ser suficiente para ativar: Success para Audit object access

Em segundo lugar, você precisa alterar o objeto que deseja auditar.

No regedit.exe, navegue até a chave mencionada acima.

Selecione Permissions no menu Edit . Clique no botão Advanced e, em seguida, na guia Auditing .

Clique no botão Add e, em seguida, no link Select a principal , digite Everyone e clique em OK .

Marque Full Control e três vezes OK

Agora, o acesso a essa chave do registro é auditado. Para examinar a auditoria, use o Security log in Event Viewer

Ele deve informar: usuário, processo, horário e até mesmo o novo valor.

Quando você não precisar mais da auditoria, desligue-a novamente.

    
por 23.07.2015 / 17:00