审计注册表访问或修改

Question

显然，除了设置审计策略之外，还需要通过 ACL 明确设置我们要审计的注册表项。

如果我们想要自动执行此设置，可以使用 PowerShell 完成，如下所示：

    $key = "HKLM:\System\" # the key we want to audit
    $sid = New-Object System.Security.Principal.SecurityIdentifier("S-1-1-0") # User, in this case "Everyone"
    $RegKey_ACL = Get-Acl $key
    $AccessRule = New-Object System.Security.AccessControl.RegistryAuditRule($sid,"SetValue,CreateSubKey,Delete","ObjectInherit,ContainerInherit","none","Success,Failure")
    $RegKey_ACL.AddAuditRule($AccessRule)
    $RegKey_ACL | Set-Acl $key

Answer 1

显然，除了设置审计策略之外，还需要通过 ACL 明确设置我们要审计的注册表项。

如果我们想要自动执行此设置，可以使用 PowerShell 完成，如下所示：

    $key = "HKLM:\System\" # the key we want to audit
    $sid = New-Object System.Security.Principal.SecurityIdentifier("S-1-1-0") # User, in this case "Everyone"
    $RegKey_ACL = Get-Acl $key
    $AccessRule = New-Object System.Security.AccessControl.RegistryAuditRule($sid,"SetValue,CreateSubKey,Delete","ObjectInherit,ContainerInherit","none","Success,Failure")
    $RegKey_ACL.AddAuditRule($AccessRule)
    $RegKey_ACL | Set-Acl $key

审计注册表访问或修改

答案1

相关内容