Назад | Перейти на главную страницу

Выполнение задачи Windows, вызванной изменениями реестра

Я ищу возможность выполнить скрипт на случай, если будет создан или изменен конкретный ключ реестра. В Windows Taks Scheduler есть способ выполнять сценарии, запускаемые системными / приложениями. Но я не мог найти ни одного для изменений реестра.

Кто-нибудь знает, как я могу это реализовать?

Вы можете инициировать эти изменения, проверив раздел реестра, который вас беспокоит. Но важно различать создаваемые / удаляемые ключи реестра и изменяемые значения реестра, потому что для них регистрируются разные события.

Первый забег auditpol.exe /get /category:"Object Access" и обратите внимание, включен ли параметр «Реестр» как «Успех и сбой» (конечно, вас больше интересует успех). Если это не так, вам нужно включить это на контроллере домена через GPO или в локальной политике безопасности сервера / рабочей станции.

После активации аудита реестра вам потребуется включить аудит раздела реестра в regedit.exe. Просто щелкните ключ правой кнопкой мыши и выберите Permissions -> Advanced -> Auditing и проведем аудит необходимых действий для пользователя Everyone. Обычно я предпочитаю проводить больше аудита.

В дальнейшем при изменении значений реестра вы увидите событие 4657, а при добавлении / удалении ключей вы увидите событие 4663, например:

    An attempt was made to access an object.

       Subject:
        Security ID:        DOMAIN\user
        Account Name:       user
        Account Domain:     DOMAIN
        Logon ID:       0x722be21

    Object:
        Object Server:  Security
        Object Type:    Key
        Object Name:    \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
    Handle ID:  0x100

Process Information:
    Process ID: 0x650
    Process Name:   C:\Windows\regedit.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

Затем вы можете запускать эти события в планировщике задач.