Überwachen von Änderungen an der Registrierung

In bestimmten Umgebungen möchten Sie möglicherweise Änderungen an der Registrierung durch Benutzer verfolgen, ohne diese ausdrücklich zu verbieten.

Eine Möglichkeit hierfür ist die in Windows integrierte Registrierungsüberwachungsfunktion, mit der alle von einem Benutzer vorgenommenen Registrierungsänderungen (oder Zugriffe) im Systemprotokoll protokolliert werden.
Die Überwachung von Windows-Registrierungsschlüsseln ist standardmäßig deaktiviert und muss mithilfe von Gruppenrichtlinien aktiviert werden. Dies kann auf einer Domäne oder einem eigenständigen Computer erfolgen. Nach der Aktivierung werden Änderungen an Windows-Registrierungsschlüsseln durch Benutzer in das Systemprotokoll geschrieben.
Öffnen Sie in einer Domäne die Konsole Active Directory-Benutzer und -Computer in Gruppenrichtlinien | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Prüfungsrichtlinien | Objektzugriff überwachen. Wählen Sie beide aus Erfolg und Fehler um alle Aktionen gegen die Registrierung zu prüfen.
Auf einem eigenständigen Computer können Sie die Registrierungsüberwachung über die Gruppenrichtlinienkonsole aktivieren. Im Start | Lauf, Art gpedit.msc und drücken Sie die Eingabetaste. Schauen Sie unter Computerkonfiguration nach Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Prüfungsrichtlinienund aktivieren Objektzugriff überwachen auf beiden Erfolg und Fehler.
Sobald dies erledigt ist, kann die Prüfung durch Öffnen durchgeführt werden regedit (oder regedt32 unter Windows 2000), und klicken Sie dann mit der rechten Maustaste auf einen bestimmten Schlüssel, um ihn zu überwachen und auszuwählen Berechtigungen | Erweitert | Prüfung. Es gibt neun Arten von Zugriff, die überwacht werden können:
Abfragewert: Versucht, die Werte eines Schlüssels zu lesen.
Wert einstellen: Versuche sich zu ändern oder Erstellen Sie einen neuen Schlüsselwert.
Unterschlüssel erstellen: Versucht, einen neuen Unterschlüssel unter dem aktuellen Schlüssel zu erstellen.
Unterschlüssel auflisten: Versucht, den Schlüssel nach einer Liste seiner Unterschlüssel abzufragen.
Benachrichtigen: Vom Schlüssel generierte Benachrichtigungsereignisse (falls vorhanden).
Verknüpfung erstellen: Versucht, eine symbolische Verknüpfung zum Schlüssel herzustellen.
Löschen: Versucht, den Schlüssel, einen seiner Unterschlüssel oder einen seiner Werte zu löschen.
Schreiben Sie DAC: Es wird versucht, die Sicherheitsberechtigungen für den Schlüssel oder seine Unterschlüssel oder Werte zu ändern.
Steuerung lesen: Versuche, Sicherheitsberechtigungen für den Schlüssel zu lesen.
Beachten Sie, dass das Sicherheitsprotokoll (in das die Ereignisse geschrieben werden) bei aktivierter Überwachung sehr schnell voll sein kann, insbesondere wenn sehr viele Änderungen oder Zugriffe auf die Registrierung vorgenommen werden. Aus diesem Grund sollte die Überwachung nur an ausgewählten Tasten durchgeführt werden.
Beachten Sie auch, dass beim Aktivieren der Sicherheitsüberwachung für die Registrierung die Sicherheitsüberwachung auch für das Dateisystem aktiviert wird. Es gibt keine Möglichkeit, sie unabhängig voneinander zu aktivieren (abgesehen davon, dass die Überwachung einzelner Dateisystemobjekte einfach nicht aktiviert wird).


Serdar Yegulalp ist der Herausgeber der Windows 2000 Power Users Newsletter. Schauen Sie sich seine an Windows 2000-Blog Für seine neuesten Ratschläge und Überlegungen zur Welt der Windows-Netzwerkadministratoren teilen Sie bitte auch Ihre Gedanken mit!

Similar Posts

Leave a Reply