我想要审核注册表修改或失败时的尝试。为此,我设置了以下审核策略:
auditpol /set /subcategory:"Registry" /success:enable /failure:enable
但是,即使我修改了注册表,或者尝试修改我没有修改权限的项,我也无法在事件查看器中的安全日志中看到任何日志。
我与之一起设置策略并编辑注册表的用户是本地管理员用户。该计算机不是域成员。
我在这里遗漏了什么?
答案1
显然,除了设置审计策略之外,还需要通过 ACL 明确设置我们要审计的注册表项。
如果我们想要自动执行此设置,可以使用 PowerShell 完成,如下所示:
$key = "HKLM:\System\" # the key we want to audit
$sid = New-Object System.Security.Principal.SecurityIdentifier("S-1-1-0") # User, in this case "Everyone"
$RegKey_ACL = Get-Acl $key
$AccessRule = New-Object System.Security.AccessControl.RegistryAuditRule($sid,"SetValue,CreateSubKey,Delete","ObjectInherit,ContainerInherit","none","Success,Failure")
$RegKey_ACL.AddAuditRule($AccessRule)
$RegKey_ACL | Set-Acl $key