Überwachung eines Reg-Schlüssels
Hallo,
unter "Überwachung" eines Reg-Schlüssels (im Falle z. B. HKCU\Control Panel\Keyboard\) wurde die relevanten Überwachungseinträge hinzugefügt und zwar nur mit der Zugriffsberechtigung "Wert festlegen", da nur diese für das Projekt relevant ist (d. h. für alle diejenigen Gruppen/Konten, welche unter "Berechtigungen" standardmäßig eh vorhanden sind und die Zugriffsberechtigung zum Ändern/Festlegen von Werte haben).
Unter aktiver Benutzersitzung werden die Änderungen in der Ereignisanzeige wie gewünscht protokolliert, wenn diese z. B. mittels regedit.exe geändert werden (etwa manuell im Windows Registrierungseditor oder per Reg-Datei). Allerdings bei Benutzerneuanmeldung bzw. Systemneustart sind keine Protokolle zu verzeichnen, obwohl Werte in diesem Schlüssel durch irgendeinen Prozess umgeändert werden.
Bei nächster Benutzersitzung ist der Wert also wieder zurück geändert ohne eine Spur in der Ereignisanzeige.
Wird die NumLock-Taste mittels VBS umgestellt (CreateObject("WScript.Shell").SendKeys "{NUMLOCK}"), so ändert sich der Wert InitialKeyboardIndicators unter [HKEY_CURRENT_USER\Control Panel\Keyboard] erst bei Benutzerneuanmeldung bzw. Systemneustart, weswegen die Überwachung aktuell scheitert.
Woran liegt dieser Umstand?
Braucht der jeweilige Registrierungsschlüssel sonst was noch für Überwachungseinträge, damit alles im System berücksichtigt werden kann, oder reicht es "logischerweise" doch völlig aus, wenn die Überwachungseinträge den Berechtigungseinträgen entsprechen, da ja nur diese die Zugriffsberechtigung zum Ändern haben?
Bzw. wäre etwa noch eine Richtlinie zu setzen, welche ein erweitertes Protokollieren (und außerhalb aktiver Benutzersitzung) ermöglicht, und welche?
(Abgesehen vom Zustand der NumLock-Taste aus diesem Szenario hier, dass dieser auch durch das Geräte-BIOS gesteuert werden könnte, hat die Überwachung von Reg-Schlüsseln mit dem BIOS natürlich nichts zu tun. Es geht hier also um allgemeine Überwachung von Reg-Schlüssels generell und um allgemeines Problemverhalten verbunden damit und konkret die Änderungen auch außerhalb von Benutzersitzungen nachverfolgen zu können).
Danke für eure Tipps
unter "Überwachung" eines Reg-Schlüssels (im Falle z. B. HKCU\Control Panel\Keyboard\) wurde die relevanten Überwachungseinträge hinzugefügt und zwar nur mit der Zugriffsberechtigung "Wert festlegen", da nur diese für das Projekt relevant ist (d. h. für alle diejenigen Gruppen/Konten, welche unter "Berechtigungen" standardmäßig eh vorhanden sind und die Zugriffsberechtigung zum Ändern/Festlegen von Werte haben).
Unter aktiver Benutzersitzung werden die Änderungen in der Ereignisanzeige wie gewünscht protokolliert, wenn diese z. B. mittels regedit.exe geändert werden (etwa manuell im Windows Registrierungseditor oder per Reg-Datei). Allerdings bei Benutzerneuanmeldung bzw. Systemneustart sind keine Protokolle zu verzeichnen, obwohl Werte in diesem Schlüssel durch irgendeinen Prozess umgeändert werden.
Bei nächster Benutzersitzung ist der Wert also wieder zurück geändert ohne eine Spur in der Ereignisanzeige.
Wird die NumLock-Taste mittels VBS umgestellt (CreateObject("WScript.Shell").SendKeys "{NUMLOCK}"), so ändert sich der Wert InitialKeyboardIndicators unter [HKEY_CURRENT_USER\Control Panel\Keyboard] erst bei Benutzerneuanmeldung bzw. Systemneustart, weswegen die Überwachung aktuell scheitert.
Woran liegt dieser Umstand?
Braucht der jeweilige Registrierungsschlüssel sonst was noch für Überwachungseinträge, damit alles im System berücksichtigt werden kann, oder reicht es "logischerweise" doch völlig aus, wenn die Überwachungseinträge den Berechtigungseinträgen entsprechen, da ja nur diese die Zugriffsberechtigung zum Ändern haben?
Bzw. wäre etwa noch eine Richtlinie zu setzen, welche ein erweitertes Protokollieren (und außerhalb aktiver Benutzersitzung) ermöglicht, und welche?
(Abgesehen vom Zustand der NumLock-Taste aus diesem Szenario hier, dass dieser auch durch das Geräte-BIOS gesteuert werden könnte, hat die Überwachung von Reg-Schlüsseln mit dem BIOS natürlich nichts zu tun. Es geht hier also um allgemeine Überwachung von Reg-Schlüssels generell und um allgemeines Problemverhalten verbunden damit und konkret die Änderungen auch außerhalb von Benutzersitzungen nachverfolgen zu können).
Danke für eure Tipps
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71710944528
Url: https://administrator.de/forum/ueberwachung-eines-reg-schluessels-71710944528.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
HKCU ist nur geladen, wenn der Benutzer angemeldet ist.
Versuche mal HKU\S-1-5-.... statt HKCU.
Weiterhin beachte, dass Änderungen im Anmeldescreen dann im Kontext von LocalSystem landen müssten. Das vermute ich jedenfalls.
Ich würde diese Art der Überwachung erstmal mit einem Schlüssel aus HKLM testen. Abmelden, Anmelden, booten. Ob es dann weiterhin funktioniert. Erst wenn das damit funktioniert, würde ich mit HKU weiter testen.
E.
HKCU ist nur geladen, wenn der Benutzer angemeldet ist.
Versuche mal HKU\S-1-5-.... statt HKCU.
Weiterhin beachte, dass Änderungen im Anmeldescreen dann im Kontext von LocalSystem landen müssten. Das vermute ich jedenfalls.
Ich würde diese Art der Überwachung erstmal mit einem Schlüssel aus HKLM testen. Abmelden, Anmelden, booten. Ob es dann weiterhin funktioniert. Erst wenn das damit funktioniert, würde ich mit HKU weiter testen.
E.