Я ищу возможность выполнить скрипт на случай, если будет создан или изменен конкретный ключ реестра. В Windows Taks Scheduler есть способ выполнять сценарии, запускаемые системными / приложениями. Но я не мог найти ни одного для изменений реестра.
Кто-нибудь знает, как я могу это реализовать?
Вы можете инициировать эти изменения, проверив раздел реестра, который вас беспокоит. Но важно различать создаваемые / удаляемые ключи реестра и изменяемые значения реестра, потому что для них регистрируются разные события.
Первый забег auditpol.exe /get /category:"Object Access"
и обратите внимание, включен ли параметр «Реестр» как «Успех и сбой» (конечно, вас больше интересует успех). Если это не так, вам нужно включить это на контроллере домена через GPO или в локальной политике безопасности сервера / рабочей станции.
После активации аудита реестра вам потребуется включить аудит раздела реестра в regedit.exe. Просто щелкните ключ правой кнопкой мыши и выберите Permissions -> Advanced -> Auditing
и проведем аудит необходимых действий для пользователя Everyone
. Обычно я предпочитаю проводить больше аудита.
В дальнейшем при изменении значений реестра вы увидите событие 4657, а при добавлении / удалении ключей вы увидите событие 4663, например:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\user
Account Name: user
Account Domain: DOMAIN
Logon ID: 0x722be21
Object:
Object Server: Security
Object Type: Key
Object Name: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
Handle ID: 0x100
Process Information:
Process ID: 0x650
Process Name: C:\Windows\regedit.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Затем вы можете запускать эти события в планировщике задач.