Preciso monitorar uma chave de registro específica no HKCU para alterações. O mais importante é que preciso saber quando mudou, quem mudou (o processo) e o que mudou também.
Eu sei que isso pode ser feito via Proc Mon, porém as complicações da situação significam que não posso instalar um novo software externo em uma máquina que preciso monitorar. Além disso, o uso da linha de comando deste programa não é adequado às minhas necessidades.
No entanto, posso implementar um aplicativo VBS ou um pequeno aplicativo c #/VB, desde que seja executado silenciosamente.
Existe uma maneira simples de monitorar uma chave e, se ela for alterada, registrar a alteração? Novamente, o mais importante aqui é qual processo o alterou.
Quaisquer pensamentos sobre como isso pode ser feito serão apreciados.
Responder1
Você pode usar a auditoria integrada do MS Windows para monitorar alterações por meio dos logs de eventos de segurança.
Ative o "Acesso ao objeto de auditoria" por meio da política de segurança local ou de grupo. Configurações de segurança/Política local/Política de auditoria/Acesso ao objeto de auditoria (Sucesso, Falha).
Abra o Registro e ajuste as Permissões no HKCU (ou a subchave específica). Permissões/Avançado/Auditoria. Adicione o usuário Todos e selecione os tipos de acesso que deseja monitorar.
Todas as adições, remoções, edições de registro, etc. serão registradas no log de eventos de segurança. Filtre conforme necessário.