Please enable JavaScript to view this site.

Fängt von Windows generierte Audit-Ereignisse ab und stellt sie in Web Reports zur Verfügung.

 

clip0341

 

 

warning_32

Anforderungen: Diese Funktion funktioniert durch Abfangen von Audit-Erfolgsereignissen mit der Ereignis-ID 4657, die in das Sicherheitsereignisprotokoll geschrieben werden, wenn die Überprüfung der Registrierung aktiviert ist (entweder in der lokalen Sicherheitsrichtlinie oder über AD) und mindestens ein Registrierungsschlüssel für die Überprüfung konfiguriert ist. Siehe Anforderungen für Einzelheiten.

 

Gesammelte Daten

Die folgenden Registrierungsdaten werden auf allen unterstützten Windows-Plattformen gesammelt:

 

Bereich

Beschreibung

Aktion

Hinzugefügt, entfernt oder modifiziert

Register-Pfad

Pfad des Werts, der hinzugefügt, entfernt oder geändert wurde, starten immer mit \REGISTRY\

Registrierungswert Name

Name des Registrierungswerts, der hinzugefügt, entfernt oder geändert wurde

Wert vorher

Wert vor der Änderung

Wert nach

Wert nach der Änderung

Typ Vorher

Typ des Wertes vor der Änderung

Eingeben nach

Typ des Wertes nach der Änderung

Anruferpfad/Datei

Prozesse, die die Änderung eingeleitet haben, für Änderungen, die entfernt eingeleitet wurden, ignorieren

Benutzername

Benutzer, der die Änderung initiiert hat

Anmelde-ID

Anmelde-ID der Sitzung, die die Änderung vorgenommen hat

Ereignis #

Ereignisnummer des Ereignisses, das die Änderung beschreibt

 

Konfiguration

Allgemeiner Filter

Bestimmt, welche Registrierungsaktivität verarbeitet wird.

 

Register-Pfade

Konfigurieren Sie, ob alle Registrierungsänderungen, die vom Betriebssystem geprüft werden, verarbeitet werden (alles überwachen), ob bestimmte Pfade exkludiert werden sollen ("unten aufgeführte Pfade ausschließen") oder ob nur ausgewählte Pfade überwacht werden sollen ("nur unten aufgeführte Pfade überwachen").

 

Registry-Pfadfilter müssen mit dem Format übereinstimmen, das im Ereignis 4657 verwendet wird, und in der Regel z.B. mit \REGISTRY\ beginnen:

 

\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\REGISTRY\USER\S-1-5-21-2574282233-618468577-1958264051-1122\Software\Microsoft\Windows\CurrentVersion\Run

 

Im Zweifelsfall ist dem Registrierungspfad ein Sternchen voranzustellen, z.B. *\Software\Microsoft\Windows\CurrentVersion\Run

 

Unterordner werden automatisch mitüberwacht.

 

Prozesse

Konfigurieren Sie, ob die Registrierungsaktivität aller Prozesse verarbeitet werden soll ("Jeder Prozess"), ob bestimmte Prozesse ausgeschlossen werden sollen ("Ausschließen der unten aufgeführten Prozesse") oder ob nur bestimmte Prozesse überwacht werden sollen ("Nur die unten aufgeführten Prozesse überwachen").