Создание раздела реестра Windows не создает журналы (идентификатор события Windows 4657)
Возникает проблема, при которой я пытаюсь проверить определенный раздел реестра с помощью идентификатора события Windows 4657.
TL; Д.Р.: Я пытался настроить аудит для раздела реестра, когда под ним создается новый подраздел, но он не регистрируется при выполнении этого действия. После создания подключа любые изменения ключа регистрируются. Моя цель, однако, состоит в том, чтобы зарегистрировать первоначальное создание подраздела "\Run", чтобы я мог поймать эту хорошо известную ASEP (точку автозапуска) для признаков вредоносной активности.
Данный ключ реестра:
до создания:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Current1Version \ Policies \ Explorer,
после создания:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \Run
Как вы можете видеть на снимке экрана ниже, этот конкретный путь не существует (подраздел "run" еще не создан).
Рисунок 1 - реестр до изменения
Разрешения аудита (щелкните правой кнопкой мыши -> Разрешения -> Дополнительно -> Аудит -> Добавить), установленные для этого подраздела реестра, следующие:
Принципал: Все
Тип: Все
Относится к: этому ключу и подразделам
Расширенные разрешения: Полный доступ (значение запроса, Задать значение, Создать подраздел, Перечислить подразделы, Уведомить, Создать ссылку, Удалить, Запись DAC, Владелец записи и Контроль чтения)
Для флажка "Только эти параметры аудита для объектов и / или контейнеров в этом контейнере" я проверил с и без него. ->OK->Apply->OK
Рисунок 2 - Аудиторская запись для подключа "Explorer"
Не уверен, что это совершенно необходимо, но также запускает "gpupdate /force" через привилегированный администратор cmd.exe
Рисунок 3 - отсутствие логов
Похоже, что журналы не были созданы в результате изменения реестра в разделе реестра (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run), который унаследовал параметры аудита от родительского ключа "Explorer".
Настройки GPO следующие:
[ 
Рисунок 4. Параметры Active Directory - пользователи и компьютеры, показывающие, к какому тестируемому хосту применен этот GP
Рисунок 5 - Управление групповой политикой, показывающее, что ссылка включена
Рисунок 6 - Редактор управления групповой политикой, показывающий, что Audit Registry настроен на ведение журнала успехов и неудач
Обратите внимание, что дальнейшие изменения, как представляется, регистрируются, как и ожидалось; создание дополнительных значений ключей и их изменение (в подразделе \Run):
Рисунок 7 - дальнейшие изменения зарегистрированы
Рисунок 8 - После создания подключа создается только журнал
Таким образом, как показано выше, после того, как ключ создан и новые значения добавлены под вновь созданным ключом, он регистрирует это, но не регистрирует, когда сам новый ключ создается.
Я что-то здесь упускаю? Любая помощь очень ценится заранее!
Дополнительная информация:
Контроллер домена, на котором осуществляется управление объектом групповой политики, представляет собой стандарт Microsoft Windows Server 2012 R2 - 6.3.9600, сборка 9600 и настроен в качестве основного контроллера домена. Компьютер, на котором я проверяю эти изменения реестра, также является Microsoft Windows Server 2012 R2 Standard - 6.3.9600 Build 9600, настроенный как рядовой сервер.
Использование Sysmon не вариант для моей текущей ситуации.