我使用 Microsoft 管理控制台创建了一个组策略对象,以限制非管理员执行某些操作(访问控制面板、运行 regedit 等)。最近,我发现其中一些限制已被删除。
在调查该问题时,我发现 ntuser.pol(保存用户组策略信息的文件)仍然反映正确的设置,但其对应的注册表配置单元文件 ntuser.dat 没有反映。
我认为 ntuser.dat.log1 和 ntuser.dat.log2 文件可能包含有关哪个进程更改了 ntuser.dat 以及何时更改的信息。不幸的是,这些文件是二进制格式的,我找不到它们的读取器。我想知道这些类型的文件是否真的有读取器,或者这些文件是否可以以其他方式用于对 ntuser.dat 更改进行取证分析?
答案1
注册表配置单元日志文件不是记录过去更改的日志,而是事务日志(如数据库事务日志)。它们临时存储足够的信息来重做或撤消注册表配置单元中的待处理事务。因此,您无法确定哪个进程更改了设置或何时更改了设置。