某些东西(或某些人)一直在更改我们几台服务器上的环境路径变量。我将审计策略(在本地安全策略下)设置为成功,除进程跟踪(仅失败)外,其他所有策略都设置为失败。但是,当我们的环境路径发生更改时,我无法找到更改的审计日志的记录位置。
有人可以指出我在哪里可以找到路径环境变量更改日志(或者如果还没有,如何启用环境路径更改的审核)吗?
我使用的是 Windows Server 2012 Standard。
答案1
机器路径变量存储在注册表中的以下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path
用户变量位于:
HKEY_CURRENT_USER\Environment
要审计Windows中的对象必须做两件事。
首先打开审计,您已经这样做了。
它应该足以启用Success:Audit object access
其次,你必须改变你要审计的对象。
在 regedit.exe 中导航到上面提到的键。
Permissions从菜单中选择Edit。单击Advanced按钮,然后单击Auditing选项卡。
单击Add按钮,然后单击Select a principal链接,输入Everyone并单击OK。
勾选Full Control三次OK
现在对该注册表项的访问已审核。要查看审核,请使用Security登录Event Viewer
它应该告诉您:用户、流程、时间甚至新值。
当您不再需要审计时,您应该再次将其关闭。