Fängt von Windows generierte Audit-Ereignisse ab und stellt sie in Web Reports zur Verfügung.
Anforderungen: Diese Funktion funktioniert durch Abfangen von Audit-Erfolgsereignissen mit der Ereignis-ID 4657, die in das Sicherheitsereignisprotokoll geschrieben werden, wenn die Überprüfung der Registrierung aktiviert ist (entweder in der lokalen Sicherheitsrichtlinie oder über AD) und mindestens ein Registrierungsschlüssel für die Überprüfung konfiguriert ist. Siehe Anforderungen für Einzelheiten. |
Gesammelte Daten
Die folgenden Registrierungsdaten werden auf allen unterstützten Windows-Plattformen gesammelt:
Bereich |
Beschreibung |
Aktion |
Hinzugefügt, entfernt oder modifiziert |
Register-Pfad |
Pfad des Werts, der hinzugefügt, entfernt oder geändert wurde, starten immer mit \REGISTRY\ |
Registrierungswert Name |
Name des Registrierungswerts, der hinzugefügt, entfernt oder geändert wurde |
Wert vorher |
Wert vor der Änderung |
Wert nach |
Wert nach der Änderung |
Typ Vorher |
Typ des Wertes vor der Änderung |
Eingeben nach |
Typ des Wertes nach der Änderung |
Anruferpfad/Datei |
Prozesse, die die Änderung eingeleitet haben, für Änderungen, die entfernt eingeleitet wurden, ignorieren |
Benutzername |
Benutzer, der die Änderung initiiert hat |
Anmelde-ID |
Anmelde-ID der Sitzung, die die Änderung vorgenommen hat |
Ereignis # |
Ereignisnummer des Ereignisses, das die Änderung beschreibt |
Konfiguration
Allgemeiner Filter
Bestimmt, welche Registrierungsaktivität verarbeitet wird.
Register-Pfade
Konfigurieren Sie, ob alle Registrierungsänderungen, die vom Betriebssystem geprüft werden, verarbeitet werden (alles überwachen), ob bestimmte Pfade exkludiert werden sollen ("unten aufgeführte Pfade ausschließen") oder ob nur ausgewählte Pfade überwacht werden sollen ("nur unten aufgeführte Pfade überwachen").
Registry-Pfadfilter müssen mit dem Format übereinstimmen, das im Ereignis 4657 verwendet wird, und in der Regel z.B. mit \REGISTRY\ beginnen:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\REGISTRY\USER\S-1-5-21-2574282233-618468577-1958264051-1122\Software\Microsoft\Windows\CurrentVersion\Run
Im Zweifelsfall ist dem Registrierungspfad ein Sternchen voranzustellen, z.B. *\Software\Microsoft\Windows\CurrentVersion\Run
Unterordner werden automatisch mitüberwacht.
Prozesse
Konfigurieren Sie, ob die Registrierungsaktivität aller Prozesse verarbeitet werden soll ("Jeder Prozess"), ob bestimmte Prozesse ausgeschlossen werden sollen ("Ausschließen der unten aufgeführten Prozesse") oder ob nur bestimmte Prozesse überwacht werden sollen ("Nur die unten aufgeführten Prozesse überwachen").