Что-то (или кто-то) продолжает изменять переменные пути к нашей среде на нескольких наших серверах. У меня есть политика аудита (в соответствии с местной политикой безопасности), установленная на Успех, Неудача для всех, кроме отслеживания процессов (что является просто неудачей). Однако, когда в наш путь к среде вносятся изменения, я не могу найти, где регистрируется журнал аудита изменения.
Может ли кто-нибудь указать мне направление, в котором я могу найти журнал изменений переменной среды пути (или как включить аудит для изменений пути среды, если еще не)?
Я использую Windows Server 2012 Standard.
Переменная пути к машине хранится в реестре по адресу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path
пользовательские переменные находятся под:
HKEY_CURRENT_USER\Environment
Для аудита объектов в Windows нужно сделать две вещи.
Сначала включите одитинг, что вы уже сделали.
этого должно быть достаточно, чтобы включить: Success для Audit object access
Во-вторых, вам нужно изменить объект, который вы хотите проверить.
В regedit.exe перейдите к указанному выше ключу.
Выбрать Permissions из Edit меню. Щелкните значок Advanced кнопку, а затем Auditing таб.
Щелкните значок Add кнопку, а затем Select a principal ссылка, тип Everyone и нажмите OK.
Поставить галочку Full Control и трижды OK
Теперь доступ к этому разделу реестра проверяется. Чтобы посмотреть аудит, вы используете Security авторизоваться Event Viewer
Он должен сказать вам: пользователь, процесс, время и даже новое значение.
Когда вам больше не нужен одитинг, вы должны снова его выключить.