Аудит реестра с помощью стандартных средств Windows

от admin
31-05-2011
Аудит и мониторинг реестра
Нет коммент.


Как уже было отмечено, этот способ наименее удобен: намного проще  создать два REG-файла, а потом сравнить их. Основной недостаток данного  метода заключается в том, что анализ результатов сравнения производится через просмотр событий безопасности (программа Просмотр событий).

Почему это недостаток? Интерфейс программы Просмотр событий, как и формат вывода самих сравнений, нельзя назвать удачным. К тому же,  события аудита придется искать среди остальных событий безопасности, что не очень удобно.

Но, как администратор, вы должны знать этот способ, а использовать его или нет — решать вам.

Первым делом нужно включить политику аудита. Для этого откройте Панель управления, перейдите в группу Администрирование и запустите апплет Локальная политика безопасности.

Выберите в левой панели раздел Локальные политики, Политика аудита, а затем на правой панели дважды щелкните по строке политики Аудит доступа к объектам. В появившемся окне установите оба  переключателя: Успех и Отказ.

Теперь запустите редактор реестра и перейдите в тот раздел, за которым вы хотите присмотреть. Пусть это будет HKCUSoftwarePolicies. Выполните команду меню Правка, Разрешения и в открывшемся окне нажмите кнопку Дополнительно. В результате выполненных действий на экране появится окно Дополнительные параметры безопасности, в котором нужно перейти на вкладку Аудит.

Нажмите кнопку Добавить и с помощью окна Выбор: Пользователь или Группа выберите пользователей, за которыми вы собираетесь осуществлять контроль. Для эксперимента можете выбрать свое имя  пользователя — просто чтобы научиться использовать аудит реестра.

Далее в окне Элемент аудита нужно установить флажки Успех или Отказ рядом с действиями, которые вы хотите отслеживать.

Нажмите кнопку ОК, а затем — Применить. Все необходимое мы настроили.

Попробуйте теперь изменить параметры реестра. Не нужно модифицировать много параметров, например, измените какой-нибудь один из того раздела, который вы контролируете. Сейчас вы поймете, почему не нужно было  изменять много параметров. Откройте программу Просмотр событии (Панель управления, Администрирование, Просмотр событий). Выберите журнал Безопасность. В нем шесть событий, хотя я изменил всего один параметр.

Давайте просмотрим события. Выделите самое раннее из событий (оно  расположено в нижней строке) и дважды щелкните по нему. Появится окно Свойства: Событие, в котором приводится подробное описание выбранного вами события. С помощью кнопок вверх/вниз вы можете  переходить к просмотру деталей других событий.


Оцените статью:
1 голос2 голоса3 голоса4 голоса5 голосов (Нет голосов)
Loading...Loading...
968 визитов
Также смотрите

Оставьте свой комментарий к статье