我在尝试通过 Windows 事件 ID 4657 审核特定注册表项时遇到问题。
TL; DR:我曾尝试在注册表项下创建新子项时设置审核,但执行此操作时不会记录。创建子项后,将记录对该项的任何更改。但我的目标是记录子项“\Run”的初始创建,以便我可以捕捉这个众所周知的 ASEP(自动启动扩展点)以发现恶意活动的迹象。
有问题的注册表项是:
创建之前:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current1Version\Policies\Explorer
创建后:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
正如您在下面的屏幕截图中看到的,这个特定路径不存在(“运行”子项尚未创建)。
该注册表子项上设置的审核权限(右键->权限->高级->审核->添加)如下:
主要的:每个人
类型:全部
适用于:此键和子键
高级权限:完全控制(查询值、设置值、创建子项、枚举子项、通知、创建链接、删除、写入 DAC、写入所有者和读取控制)
对于“仅将这些审核设置应用于此容器内的对象和/或容器”复选框,我已经测试了选中和未选中的情况。->确定->应用->确定
不确定这是否完全必要,但也通过管理员权限 cmd.exe 运行“gpupdate /force”
由于注册表项 (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run) 的注册表更改已从其父项“Explorer”继承了审核设置,因此似乎没有生成任何日志。
GPO 设置如下:
[
图 4 - Active Directory 用户和计算机设置显示正在测试的主机已应用此 GP
图 6 - 组策略管理编辑器显示审核注册表设置为记录成功和失败
请注意,进一步的修改似乎按预期记录;创建其他键值并修改它们(在 \Run 子键下):
因此,如上所示,一旦创建了密钥并且在新创建的密钥下添加了新值,它就会记录此信息,但是不会记录新密钥本身的创建时间。
我这里漏掉了什么吗?非常感谢大家的任何帮助!
附加信息:
管理 GPO 的 DC 是 Microsoft Windows Server 2012 R2 Standard - 6.3.9600 Build 9600,并配置为主域控制器。我测试这些注册表更改的机器也是配置为成员服务器的 Microsoft Windows Server 2012 R2 Standard - 6.3.9600 Build 9600。
对于我目前的情况来说,使用 Sysmon 不是一个选择。