HKCU の特定のレジストリ キーの変更を監視する必要があります。最も重要なのは、いつ変更されたか、誰が変更したか (プロセス)、何が変更されたかを知る必要があることです。
これは Proc Mon で実行できることはわかっていますが、状況が複雑なため、監視する必要があるマシンに新しい外部ソフトウェアをインストールすることはできません。また、このプログラムのコマンド ラインでの使用は、私のニーズには適していません。
ただし、サイレントに実行される限り、VBS または小さな c# / VB アプリケーションを実装することはできます。
キーを監視し、変更があった場合はその変更を記録する簡単な方法はありますか? 繰り返しますが、ここで最も重要なのは、どのプロセスがそれを変更したかです。
これをどのように実現できるかについてのご意見をいただければ幸いです。
答え1
MS Windows に組み込まれている監査機能を使用して、セキュリティ イベント ログを介して変更を監視できます。
グループまたはローカル セキュリティ ポリシーのいずれかを使用して、「オブジェクト アクセスの監査」を有効にします。セキュリティ設定/ローカル ポリシー/監査ポリシー/オブジェクト アクセスの監査 (成功、失敗)。
レジストリを開き、HKCU (または特定のサブキー) のアクセス許可を調整します。アクセス許可/詳細設定/監査。Everyone ユーザーを追加し、監視するアクセス タイプを選択します。
すべてのレジストリの追加、削除、編集などはセキュリティ イベント ログに記録されます。必要に応じてフィルターします。