Обновление: можно импортировать через VB (или, возможно, на любой другой язык), но используя REG IMPORT. Убедитесь, что вы помещаете файл .REG, где система может получить к нему доступ (система не имеет тех же привилегий, что и Администратор). Вам нужно будет запустить отдельное приложение, которое запускается как «Система» и, при загрузке, импортирует раздел реестра. Вы можете запускать систему, используя PSTools (psexec), из Sysinternals. Вы также можете сделать это, создав сервис, запустив службу, а затем удалив услугу: Running application as System (without PSTools)
Я понял, что все ссылки, на которые я думал, были ответом, не были. Все они меняют вкладку «Политика аудита», и я уже могу это сделать программно. То, что я хочу изменить, - это глобальная политика аудита, доступная только в групповой политике (gpedit.msc). Конечно, вы можете «установить» его на любую версию Windows, но мне нужно решение, которое не требует, чтобы конечный пользователь должен был установить его (иначе не использовать gpedit.msc).
Я знал, что Process Monitor может контролировать практически все, что происходит в фоновом режиме, и одна ссылка в моих комментариях также использовала Process Monitor (комментарии моего OP). Итак, я подумал, что это действительно мой единственный способ. Естественно, вы бы подумали, что mmc.exe - это тот, который нужно искать, но это не так. Он создает TON реестра open/query/enum/close. Однако установка и удаление не выполняются. Я решил посмотреть немного до и после большого блока операций MMC (ну и, конечно, где-то между ними). Все, что не было mmc, но произошло в точном таймфрейме. Я обнаружил, что lsass сделал некоторые настройки и удалил. Это изменило значение ключа реестра, который принадлежит системе. Я использовал PSTools для запуска regedit как System, поэтому я мог получить доступ к ключу. Затем я использовал gpedit для переключения туда и обратно (от No Auditing to Success) и обнаружил, что он всегда устанавливает одинаковые значения (что-то вроде 0 для off и 1 для on). Я экспортировал ключи, когда я изменил значения в gpedit, а затем импортировал их для тестирования. Я могу подтвердить, что он работает, открыв gpedit после импорта, и значение изменится. Я также могу подтвердить это просто, включив «Аудит» в папке и просмотрев журналы в средстве просмотра событий.
Т.Л., д-р
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv\(Default) это вы хотите.- Download the .reg files here
- Выполнить это в командной строке с повышенными:
psexec -i -s regedit
- Импортируйте REG-файл, который нужно.
- Подтвердить повторное открытие gpedit.msc и проверку просмотра событий (безопасность)
Не доверяйте REG-файлы? Вот значения, которые вы хотите, если хотите создать их самостоятельно. Тип значения REG_NONE, поэтому @=hex(0).
No Audit: 00010000090000007e00000001000000030000000300010001000100000001000000000000000300000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000100000000000000000001000000010000000000000000000000000000000000000000000000fe7f05000a000e00030004000600060004000400
Success: 00010000090000007e00000001000000030000000300010001000100000001000000000000000300000001000100010001000100010001000100010001000100010001000100000000000000000000000000000001000100000000000000000001000000010000000000000000000000000000000000000000000000fe7f05000a000e00030004000600060004000400
Привет, пожалуйста, возьмите код, попробуйте, и опубликовать результаты, чтобы мы могли помочь вам отладить. – sodawillow
Возьмите какой-то код из чего? Связь? Я только нашел ссылку после публикации. Я вообще не знаю, как это сделать, и у меня еще не было возможности взглянуть на ссылку (я займусь через час или около того). В противном случае я искал другие предложения. –
Возьмите код из Google, как и все: https://social.technet.microsoft.com/Forums/windows/en-US/046d0082-740a-486b-9078-08307a754d97/powershell-group-policy-auditing-tab ? forum = winserverpowershell – sodawillow