Главная » Linux

Реестр изменение отслеживание windows

Содержание
  1. RegFromApp — утилита для отслеживания изменений в реестре Windows
  2. Что изменило реестр: ищем виновника и причину.
  3. Перед тем, как начать…
  4. Что изменило реестр: настраиваем групповую политику
  5. Что изменило реестр: настраиваем события в самом реестре
  6. Что изменило реестр: проверяем

RegFromApp — утилита для отслеживания изменений в реестре Windows

Р еестр Windows является, пожалуй, самым динамичным компонентом операционной системы. В нём отражаются любые, даже самые незначительные изменения, вносимые в систему штатными и сторонними программами. Опытные пользователи могут отслеживать подобные изменения, применяя для этих целей специальные утилиты, об одной из которых сегодня пойдёт речь. Называется она RegFromApp. Эта небольшая портативная утилита от Nirsoft позволяет производить наблюдение за работой установленных на компьютере программ.

А вернее фиксировать все изменения, которые они в процессе своей работы вносят в системный реестр, и при необходимости сравнивать ранее полученные результаты с более поздними. Исключения составляют универсальные приложения Windows, подключение к их процессам в RegFromApp чаще всего завершается ошибкой.

Пользоваться утилитой довольно просто. После её запуска вам будет предложено выбрать процесс для наблюдения и нажать ок. Также процесс можно выбрать вручную из главного графического меню программы. После этого будет запущено наблюдение в фоновом режиме. Как только отслеживаемая программа внесёт в реестр какие-то изменения, они тут же появятся в главном окне утилиты. Данные об изменениях можно скопировать в буфер обмена или сохранить в файл REG.

Режима отображения в RegFromApp два. По умолчанию утилита показывает только последние измененные значения, но также имеется возможность задать показ исходных значений. Других значимых настроек в программе нет.

Что изменило реестр: ищем виновника и причину.

Отслеживание изменений в реестре – один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров. Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок.

Читайте также:  Все клавиатуры для windows mobile

Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о “встроенных” возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.

В Windows аудитом изменений реестра “занимается” специальная служба под наименованием Object Access Audit Policy , а за конкретным ключом будет присматривать Audit Security . После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.

Вся процедура подразумевает три пункта:

  • активация политики Аудита
  • активация SACL
  • просмотр Журнала событий и поиск по фильтрам

Перед тем, как начать…

Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки. Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров. Так что:

  • этот режим, вероятно, носит временный характер
  • для очистки Журнала воспользуйтесь информацией из статьи по ссылке выше.

А мы приступаем.

Что изменило реестр: настраиваем групповую политику

  • с помощью быстрой команды отправляемся в редактор политики
  • найдём настройку Политики Аудита и справа выберем Аудит доступа к объектам:

  • выставим пару галочек для формирования событий:

  • Соглашаемся, закрываем окна и выходим из редактора

Что изменило реестр: настраиваем события в самом реестре

  • заходим в редактор реестра
  • ищем ключ, изменения в котором нужно отслеживать. Для примера я возьму параметр, в который часто лезут программы (раздел огромный, в Журнале ему будет тесно, конечно):

  • через Разрешения выходим на окно Безопасности, в котором выберем кнопку Дополнительно. И окажемся в окне Дополнительных параметров безопасности для искомого ключа. Следуем по пути, мною указанному (вкладка Аудит – кнопка Добавить – в окне имён пишем Все и закрепим кнопкой Проверить имена):
Читайте также:  Windows phone для линукс

  • появится окно Объекта для элемента аудита. Выставляем Полный доступ на Успех и Отказ:

  • Применить и ОК. Можно из реестра выходить, здесь закончили.

Что изменило реестр: проверяем

Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:

В левой части консоли раскрываем Журналы Windows -> Безопасность:. Событий там много из без того, так что нам лишь стоит выставить необходимы фильтры по идентификационным номерам (все вам вряд ли понадобятся, читайте описание для каждого). Это:

  • 4656 – это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем.
  • 4657 – параметр реестра изменился
  • 4660 – параметр удалён
  • 4663 – это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел

Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:

Подробности события – в одноимённой вкладке для каждого из них:

Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.

Оцените статью
© 2024 Советы по настройке компьютера