我有一个(win8)系统,每次重新启动时,都会有一些东西修改HOME环境变量。
这导致了问题,我想追踪是什么修改了它。
有什么方法可以知道正在修改该环境变量吗?
答案1
我们需要做的是:
-
Run the following command from Command Prompt: auditpol /set /subcategory:"Registry" /success:enable
注意:如果操作系统有不同的语言包,名称Registry
可能会有所不同。例如,在德语 Windows 上,名称为Registrierung
。要查看子类别的名称,您可以运行:
auditpol /list /subcategory:*
-
Open Registry Editor and navigate to the key which we want to audit
- 用户变量:
HKEY_CURRENT_USER\Environment
- 系统变量(
PATH
是系统变量):HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\
-
Right-click on the key and choose `Permissions…`
-
Click `Advanced` and switch to the `Auditing` tab
-
Add a user or group and select Access: Set Value
-
Apply settings
现在,注册表更改在事件查看器中可见Windows Logs\Security
: