Выполнить задачу Windows, вызванную изменениями реестра
Я ищу возможность выполнить сценарий на случай, если определенный ключ реестра будет создан или изменен. В планировщике Windows Taks есть способ выполнять сценарии, запускаемые событиями системы / приложения. Но я не мог найти один для изменений в реестре.
Кто-нибудь знает, как я могу это реализовать?
1 ответ
Вы можете активировать эти изменения путем проверки раздела реестра, который вас интересует. Но важно различать создаваемые / удаляемые ключи реестра и изменяемые значения реестра, поскольку для них регистрируются разные события.
Первый забег auditpol.exe /get /category:"Object Access" и отметьте, включен ли "Реестр" как "Успех и сбой" (вы, конечно, в основном заинтересованы в успехе) Если это не так, вам нужно будет включить это на контроллере домена через GPO или в локальной политике безопасности сервера / рабочей станции.
Как только аудит для реестра активирован, вам необходимо включить аудит для раздела реестра в regedit.exe. Просто щелкните правой кнопкой мыши и выберите Permissions -> Advanced -> Auditing и аудит необходимых действий для пользователя Everyone, Я вообще предпочитаю проводить аудит более чем менее.
В дальнейшем, когда значения реестра будут изменены, вы увидите событие 4657, а когда ключи будут добавлены / удалены, вы увидите событие 4663, например:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\user
Account Name: user
Account Domain: DOMAIN
Logon ID: 0x722be21
Object:
Object Server: Security
Object Type: Key
Object Name: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
Handle ID: 0x100
Process Information:
Process ID: 0x650
Process Name: C:\Windows\regedit.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Затем вы можете запустить эти события в планировщике задач.