Necesito monitorear una clave de registro específica en HKCU para detectar cambios. Lo más importante es saber cuándo cambió, quién lo cambió (el proceso) y qué cambió también.
Sé que esto se puede hacer a través de Proc Mon, sin embargo, las complicaciones de la situación significan que no puedo instalar nuevo software externo en una máquina que necesito monitorear. Además, el uso de la línea de comandos de este programa no es adecuado para mis necesidades.
Sin embargo, puedo implementar una aplicación VBS o una pequeña aplicación C#/VB, siempre que se ejecute en silencio.
¿Existe una forma sencilla de monitorear una clave y, si cambia, registrar el cambio? Nuevamente, lo más importante aquí es qué proceso lo cambió.
Se agradece cualquier idea sobre cómo se puede hacer esto.
Respuesta1
Puede utilizar la auditoría integrada de MS Windows para monitorear los cambios a través de los registros de eventos de seguridad.
Habilite "Auditar acceso a objetos" a través de la política de seguridad local o de grupo. Configuración de seguridad/Política local/Política de auditoría/Auditar acceso a objetos (éxito, error).
Abra el Registro y ajuste los Permisos en HKCU (o la subclave específica). Permisos/Avanzado/Auditoría. Agregue el usuario Todos y seleccione los tipos de acceso que desea monitorear.
Todo lo que se agregue, elimine, edite, etc. del registro se registrará en el registro de eventos de seguridad. Filtrar según sea necesario.