执行由注册表更改触发的 Windows 任务

Question

您可以通过审核您关心的注册表项来触发这些更改。但区分创建/删除的注册表项和更改的注册表值非常重要，因为这些会记录不同的事件。

首先，运行auditpol.exe /get /category:"Object Access"并注意“注册表”是否已启用成功和失败（当然，您最关心的是成功）。如果没有，则需要通过 GPO 在域控制器上或在服务器/工作站的本地安全策略中启用此功能。

一旦激活了注册表审核，您将需要在 regedit.exe 中启用注册表项审核。只需右键单击该项，然后选择Permissions -> Advanced -> Auditing并审核用户所需的操作Everyone。我通常更喜欢审核更多内容。

继续，当注册表值发生变化时，您将看到事件 4657，而当添加/删除键时，您将看到事件 4663，例如：

    An attempt was made to access an object.

       Subject:
        Security ID:        DOMAIN\user
        Account Name:       user
        Account Domain:     DOMAIN
        Logon ID:       0x722be21

    Object:
        Object Server:  Security
        Object Type:    Key
        Object Name:    \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
    Handle ID:  0x100

Process Information:
    Process ID: 0x650
    Process Name:   C:\Windows\regedit.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

然后您可以在任务计划程序中触发这些事件。

Answer 1

您可以通过审核您关心的注册表项来触发这些更改。但区分创建/删除的注册表项和更改的注册表值非常重要，因为这些会记录不同的事件。

首先，运行auditpol.exe /get /category:"Object Access"并注意“注册表”是否已启用成功和失败（当然，您最关心的是成功）。如果没有，则需要通过 GPO 在域控制器上或在服务器/工作站的本地安全策略中启用此功能。

一旦激活了注册表审核，您将需要在 regedit.exe 中启用注册表项审核。只需右键单击该项，然后选择Permissions -> Advanced -> Auditing并审核用户所需的操作Everyone。我通常更喜欢审核更多内容。

继续，当注册表值发生变化时，您将看到事件 4657，而当添加/删除键时，您将看到事件 4663，例如：

    An attempt was made to access an object.

       Subject:
        Security ID:        DOMAIN\user
        Account Name:       user
        Account Domain:     DOMAIN
        Logon ID:       0x722be21

    Object:
        Object Server:  Security
        Object Type:    Key
        Object Name:    \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
    Handle ID:  0x100

Process Information:
    Process ID: 0x650
    Process Name:   C:\Windows\regedit.exe

Access Request Information:
    Accesses:   DELETE

    Access Mask:    0x10000

然后您可以在任务计划程序中触发这些事件。

执行由注册表更改触发的 Windows 任务

答案1

相关内容