Ich muss einen bestimmten Registrierungsschlüssel in HKCU auf Änderungen überwachen. Am wichtigsten ist, dass ich weiß, wann er geändert wurde, wer ihn geändert hat (der Prozess) und was auch geändert wurde.
Ich weiß, dass dies über Proc Mon möglich ist, aber aufgrund der Komplexität der Situation kann ich keine neue externe Software auf einem Computer installieren, den ich überwachen muss. Auch die Befehlszeilenverwendung dieses Programms ist für meine Anforderungen nicht geeignet.
Ich kann jedoch eine VBS- oder kleine C#-/VB-Anwendung implementieren, solange sie im Hintergrund ausgeführt wird.
Gibt es eine einfache Möglichkeit, einen Schlüssel zu überwachen und bei Änderungen die Änderung aufzuzeichnen? Auch hier ist das Wichtigste, welcher Prozess ihn geändert hat.
Alle Ideen, wie dies erreicht werden kann, sind willkommen.
Antwort1
Sie können die in MS Windows integrierte Überwachung verwenden, um Änderungen über die Sicherheitsereignisprotokolle zu überwachen.
Aktivieren Sie „Objektzugriff überwachen“ entweder über die Gruppen- oder lokale Sicherheitsrichtlinie. Sicherheitseinstellungen/Lokale Richtlinie/Überwachungsrichtlinie/Objektzugriff überwachen (Erfolg, Fehler).
Öffnen Sie die Registrierung und passen Sie die Berechtigungen für HKCU (oder den spezifischen Unterschlüssel) an. Berechtigungen/Erweitert/Überwachung. Fügen Sie den Benutzer „Jeder“ hinzu und wählen Sie die Zugriffstypen aus, die Sie überwachen möchten.
Alle Registrierungserweiterungen, -entfernungen, -änderungen usw. werden im Sicherheitsereignisprotokoll protokolliert. Filtern Sie nach Bedarf.