변경 사항이 있는지 HKCU의 특정 레지스트리 키를 모니터링해야 합니다. 가장 중요한 것은 언제 변경되었는지, 누가 변경했는지(프로세스), 그리고 무엇이 변경되었는지 알아야 합니다.
Proc Mon을 통해 이 작업을 수행할 수 있다는 것을 알고 있지만 상황이 복잡해져서 모니터링해야 하는 컴퓨터에 새 외부 소프트웨어를 설치할 수 없습니다. 또한 이 프로그램의 명령줄 사용은 내 요구에 적합하지 않습니다.
그러나 자동으로 실행되는 한 VBS 또는 소규모 C#/VB 애플리케이션을 구현할 수 있습니다.
키를 모니터링하고 변경된 경우 변경 사항을 기록하는 간단한 방법이 있습니까? 여기서도 가장 중요한 것은 어떤 프로세스가 이를 변경했는지입니다.
이것이 어떻게 이루어질 수 있는지에 대한 어떤 생각이라도 감사하겠습니다.
답변1
MS Windows에 내장된 감사 기능을 사용하여 보안 이벤트 로그를 통해 변경 사항을 모니터링할 수 있습니다.
그룹 또는 로컬 보안 정책을 통해 "객체 액세스 감사"를 활성화합니다. 보안 설정/로컬 정책/감사 정책/감사 개체 액세스(성공, 실패).
레지스트리를 열고 HKCU(또는 특정 하위 키)에 대한 사용 권한을 조정합니다. 권한/고급/감사. 모든 사용자를 추가하고 모니터링하려는 액세스 유형을 선택합니다.
모든 레지스트리 추가, 제거, 편집 등은 보안 이벤트 로그에 기록됩니다. 필요에 따라 필터링합니다.