如何使用进程监视器检测 GPEdit 修改所做的寄存器更改?

如何使用进程监视器检测 GPEdit 修改所做的寄存器更改?

据推测进程监控可以捕捉注册表更改任何程序都可以制作。这线解释得很好(谢谢你,James T)。

但当谈到组策略编辑器gpedit.msc),因为当我尝试更改一个条目时,我收到了超过 738 个注册事件:

User Configuration -> Administrative Templates -> Code signing for drivers

大量捕获的数据

我怎么能够隔离针对我的 GPEdit 更改执行了哪些具体的注册表更改?

新数据:

根据 Frank Thomas 的建议(谢谢),只有一个RegSetValue名为 的条目HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify
这个BehaviorOnFailedVerify键就是我要更改的,但这个键已在多个地方在收银台:

  • 如上所述HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing
  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing
  • HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing
  • HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing

这是:四个变化,而 Process Monitor 只检测到其中一个。
这是正确的吗?为什么?
如果假装通过命令执行相同的更改reg(不使用)gpedit.msc,我应该更改哪一个?全部四个?

笔记:我没有解释,只要我认为没有必要,但我最初的想法是能够BehaviorOnFailedVerify通过以下方式更改密钥远程 shell,例如 SSH 或 telnet)。 笔记2: 对于那些想知道这会带来什么变化的人来说:它禁用驱动程序签名验证请求因此,在为 OpenVPN 无人值守安装安装一些未签名的驱动程序(如 TAP 驱动程序(网络))时,没有任何内容会向 GUI 用户提示屏幕。

答案1

使用注册应用程序而是。将其附加到MMC.exe运行 gpedit 的程序,然后单击绿色箭头开始记录。如果您更改条目,该工具将生成一个 .reg 文件,您可以保存并稍后再次使用。

相关内容