Мне нужно отслеживать изменения определенного ключа реестра в HKCU. Самое главное, мне нужно знать, когда он изменился, кто его изменил (процесс) и что он изменил.
Я знаю, что это можно сделать через Proc Mon, однако сложность ситуации означает, что я не могу установить новое внешнее программное обеспечение на машину, которую мне нужно контролировать. Кроме того, использование командной строки этой программы не подходит для моих нужд.
Однако я могу реализовать приложение VBS или небольшое приложение C# / VB, если оно будет работать бесшумно.
Есть ли простой способ контролировать ключ и если он меняется, записывать изменения? Опять же, самое важное здесь — какой процесс его изменил.
Буду признателен за любые мысли о том, как это можно сделать.
решение1
Вы можете использовать встроенную функцию аудита MS Windows для отслеживания изменений с помощью журналов событий безопасности.
Включите «Аудит доступа к объектам» через групповую или локальную политику безопасности. Параметры безопасности/Локальная политика/Политика аудита/Аудит доступа к объектам (успех, неудача).
Откройте Реестр и настройте Разрешения на HKCU (или конкретный подраздел). Разрешения/Дополнительно/Аудит. Добавьте пользователя Everyone и выберите Типы доступа, которые вы хотите отслеживать.
Все добавления, удаления, изменения и т. д. в реестре будут регистрироваться в журнале событий безопасности. Фильтруйте по мере необходимости.