При поддержке компании Mobatime Systems: лидера в разработке, производстве и продаже приборов и систем времени. Подробнее...
Сайт · Форум · Инструменты WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки

Шаблоны

New_WindowsFAQ
Главная arrow FAQ arrow Реестр arrow Как настроить аудит реестра
Как настроить аудит реестра Версия для печати
Автор SavageNoName   

Если аудит не был включен ранее в групповой политике, то его нужно включить перед настройкой аудита ключей реестра.
Для этого откройте локальную политику при помощи Пуск - Выполнить - gpedit.msc Откроется окно, показанное на рисунке 1.

Групповая политика
Групповая политика

Разверните слева дерево папок так, как показано на рисунке 1, т.е. Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Политика аудита. В правом окне дважды щелкните по параметру Аудит доступа к объектам и в открывшемся окне поставьте галку у пункта Успех. После нажатия ОК в окне, показанном на рисунке 1, напротив параметра Аудит доступа к объектам, в графе Локальный параметр появится значение Успех. Это говорит о том, что в данный момент в политике включен аудит успехов доступа к объектам. Но политика еще не распространена и не действует. Чтобы распространить (применить) измененную политику безопасности откройте командную строку (Пуск - Выполнить - cmd) и выполните команду

secedit /refreshpolicy MACHINE_POLICY

В ответ будет выведено сообщение о том, что запущен процесс распространения групповой политики.
Закройте окно Групповая политика, показанное на рисунке 1 и откройте его вновь, переместившись до раздела с настройками аудита, так, как это было описано выше. Если политика успешно применена, то напротив параметра Аудит доступа к объектам в графе Действующий параметр будет написано то же, что и в графе Локальный параметр. Это говорит о том, что аудит включен и политика применена. Пример показан на рисунке 2.

Групповая политика применена
Групповая политика применена

Теперь настроим аудит конкретного ключа в реестре. К примеру, пусть это будет HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Откроем редактор реестра regedt32 (WIndows 2000) или regedit (Windows XP). Пройдем по дереву реестра до ключа, аудит которого необходимо настроить и выделим его. В меню Безопасность редактора реестра выберем пункт Разрешения. В открывшемся окне нажмем кнопку Дополнительно и переключимся на вкладку Аудит. Ее внешний вид показан на рисунке 3.

Настройка аудита ключа реестра
Настройка аудита ключа реестра

Нажмите кнопку Добавить и выберите группу Все двойным кликом. В открывшемся окне отметьте галками только те пункты, которые соответствуют интересующим событиям. К примеру, я поставил аудит только на успешное задание значения. Нажмите ОК три раза до возврата в окно редактора реестра. Аудит настроен. Чтобы проверить его работу создадим текстовый файл со следующим содержанием:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"test"=""

Сохраните файл под именем test.reg, например. В диалоговом окне сохранения файла выберите Тип файла: Все файлы, иначе редактор присвоит файлу расширение txt. Этот файл предназначен для создания в реестре по указанному пути параметра test с пустым значением, что видно из содержимого файла. Запустите полученный файл. Если все сделано правильно, то будет выдан запрос на добавление данных в реестр. Пример показан на рисунке 4.

Запрос на добавление информации
Запрос на добавление информации

Ответьте Да, после чего будет выдано подтверждение о том, что информация успешно добавлена.
Теперь откройте консоль Управление компьютером. Для этого щелкните правой кнопкой мыши по значку Мой компьютер и выберите Управление. В открывшемся окне перейдите в журнал Безопасность. Его местоположение показано на рисунке 5.

Журнал Безопасность
Журнал Безопасность

На рисунке 5 выделена запись с кодом 560. Это и есть уведомление о том, что с ключем реестра произошло событие на которое настроен аудит.
Таким образом, можно настроить аудит на любые события и анализировать их при помощи журнала Безопасности системы.

 
< Как редактировать реестр   Как узнать, где программа хранит свои настройки в реестре >

Сервер NTP

Время, полученное с NTP-сервера. Для просмотра должен быть разрешён Java-script.
Время, полученное с Вашего компьютера. Для просмотра должен быть разрешён Java-script.

Доступ к серверу NTP первого стратума
Подробнее

На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2017
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 13 лет, 0 месяцев и 19 дней. Форуму 16 лет, 5 месяцев и 1 день.