Назад | Перейти на главную страницу

Создание подраздела реестра Windows не создает журналы (идентификатор события Windows 4657)

У меня возникла проблема, когда я пытаюсь выполнить аудит определенного раздела реестра с помощью идентификатора события Windows 4657.

TL; ДР: Я попытался настроить аудит для раздела реестра, когда в нем создается новый подраздел, но он не регистрирует, когда это действие выполняется. После создания подраздела все изменения ключа регистрируются. Моя цель, однако, состоит в том, чтобы зарегистрировать первоначальное создание подраздела «\ Run», чтобы я мог обнаружить этот хорошо известный ASEP (Auto-start Extension Point) на предмет признаков злонамеренной активности.

Рассматриваемый ключ реестра:

перед созданием:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Current1Version \ Policies \ Explorer

после создания:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run

Как вы можете видеть на снимке экрана ниже, этот конкретный путь не существует (подраздел «run» еще не создан).


Рисунок 1 - реестр до изменения

В этом подразделе реестра установлены следующие разрешения аудита (щелкните правой кнопкой мыши -> Разрешения -> Дополнительно -> Аудит -> Добавить):

Директор: Все

Тип: Все

Относится к: Этот ключ и подключи

Расширенные разрешения: Полный контроль (Значение запроса, Заданное значение, Создать подраздел, Перечисление подразделов, уведомление, создание ссылки, удаление, запись DAC, запись владельца и управление чтением)

Для флажка «Только эти параметры аудита для объектов и / или контейнеров в этом контейнере» я тестировал с установленным флажком и без него. -> ОК-> Применить-> ОК


Рисунок 2 - Запись аудита для подраздела «Explorer»

Не уверен, что это абсолютно необходимо, но также запустил «gpupdate / force» через cmd.exe с правами администратора.


Рисунок 3 - отсутствие журналов

Похоже, что в результате изменения реестра в разделе реестра (HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run), унаследовавшего параметры аудита от родительского раздела «Explorer», не было создано никаких журналов.

Настройки GPO следующие:

[
Рисунок 4 - Настройки пользователей и компьютеров Active Directory, показывающие, что на тестируемом хосте применен этот GP


Рисунок 5 - Управление групповой политикой, показывающее, что ссылка включена


Рисунок 6 - Редактор управления групповой политикой, показывающий, что реестр аудита настроен на регистрацию успехов и сбоев

Обратите внимание, что дальнейшие изменения, похоже, регистрируются должным образом; создание дополнительных значений ключей и их изменение (в подразделе \ Run):


Рисунок 7 - регистрируются дальнейшие изменения


Рисунок 8 - После создания подраздела создается только журнал

Итак, как показано выше, после создания ключа и добавления новых значений под вновь созданный ключ он регистрирует это, но не регистрирует, когда создается сам новый ключ.

Я что-то упустил? Любая помощь приветствуется заранее!

Дополнительная информация: