据推测进程监控可以捕捉注册表更改任何程序都可以制作。这线解释得很好(谢谢你,James T)。
但当谈到组策略编辑器(gpedit.msc
),因为当我尝试更改一个条目时,我收到了超过 738 个注册事件:
User Configuration -> Administrative Templates -> Code signing for drivers
我怎么能够隔离针对我的 GPEdit 更改执行了哪些具体的注册表更改?
新数据:
根据 Frank Thomas 的建议(谢谢),只有一个RegSetValue
名为 的条目HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify
。
这个BehaviorOnFailedVerify
键就是我要更改的,但这个键已在多个地方在收银台:
- 如上所述
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing
。 - 在
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing
。 - 在
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing
。 - 在
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing
。
这是:四个变化,而 Process Monitor 只检测到其中一个。
这是正确的吗?为什么?
如果假装通过命令执行相同的更改reg
(不使用)gpedit.msc
,我应该更改哪一个?全部四个?
笔记:我没有解释,只要我认为没有必要,但我最初的想法是能够BehaviorOnFailedVerify
通过以下方式更改密钥远程 shell,例如 SSH 或 telnet)。
笔记2: 对于那些想知道这会带来什么变化的人来说:它禁用驱动程序签名验证请求因此,在为 OpenVPN 无人值守安装安装一些未签名的驱动程序(如 TAP 驱动程序(网络))时,没有任何内容会向 GUI 用户提示屏幕。
答案1
使用注册应用程序而是。将其附加到MMC.exe
运行 gpedit 的程序,然后单击绿色箭头开始记录。如果您更改条目,该工具将生成一个 .reg 文件,您可以保存并稍后再次使用。