“WHO”변경된 레지스트리 키 모니터

변경 사항이 있는지 HKCU에서 특정 레지스트리 키를 모니터링해야합니다. 가장 중요한 것은 언제 변경되었는지, 누가 변경했는지 (프로세스), 변경 내용을 알아야한다는 것입니다.

Proc Mon을 통해이 작업을 수행 할 수 있다는 것을 알고 있지만 상황이 복잡하면 모니터링해야하는 컴퓨터에 새 외부 소프트웨어를 설치할 수 없습니다. 또한이 프로그램의 명령 줄 사용은 내 요구에 적합하지 않습니다.

그러나 자동으로 실행되는 한 VBS 또는 작은 c # / VB 응용 프로그램을 구현할 수 있습니다.

키를 모니터링하는 간단한 방법이 있으며 변경 사항이 있으면 변경 사항을 기록합니까? 여기서도 가장 중요한 것은 어떤 프로세스가 변경되었는지입니다.

이것이 어떻게 이루어질 수 있는지에 대한 모든 생각.

windows windows-registry

— 다모
소스

소프트웨어를 설치할 수 없다면 왜 VB 스크립트를 실행할 수 있습니까?

— Ramhound

고객 네트워크이며 고객은 기계를 구축합니다. 가벼운 것을 실행하도록 설득하는 것이 더 쉬울 것입니다.

— Damo

프로세스 모니터 명령 행이 충분하지 않은 이유는 무엇입니까? 그리고 자신의 스크립트 나 실행 파일보다 나쁘게 만드는 Process Monitor (이식 가능, live.sysinternals.com/procmon.exe )의 문제점은 무엇입니까?

— Tamara Wijsman

@TomWijsman은 작업 환경이 사용자에게 팝업이나 질문을 허용하지 않기 때문에 @TomWijsman. 일어날 수 없습니다. / quiet / minimized 등 ...을 설정하더라도 ProcMon은 재부팅 후로드에 대한 질문을 계속합니다.

— Damo

감사 기능에 내장 된 MS Windows를 사용하여 보안 이벤트 로그를 통해 변경 사항을 모니터링 할 수 있습니다.

그룹 또는 로컬 보안 정책을 통해 "감사 개체 액세스"를 활성화하십시오. 보안 설정 / 로컬 정책 / 감사 정책 / 감사 개체 액세스 (성공, 실패).

레지스트리를 열고 HKCU (또는 특정 하위 키)에 대한 권한을 조정하십시오. 권한 / 고급 / 감사 Everyone 사용자를 추가하고 모니터하려는 액세스 유형을 선택하십시오.

모든 레지스트리 추가, 제거, 편집 등은 보안 이벤트 로그에 기록됩니다. 필요에 따라 필터링하십시오.

— p0rkjello
소스