Logging von Registry-Key-Änderungen

Bei manchen Problemen kann es hilfreich sein, Änderungen an Registry-Einträgen aufzuzeichnen.

Dazu kann man die Audit Policy verändern, sodass Änderungen im Event Viewer unter Windows Logs\Security erscheinen. Dies kann man wie folgt erreichen:

In der Kommandozeile ändert man die Audit Policy mittels:

auditpol /set /subcategory:"Registry" /success:enable

Hierbei ist zu beachten, dass auf Systemen, welche als Systemsprache nicht Englisch eingestellt haben, die Kategorie nicht Registry heißt. (zu deutsch: Registrierung)

Mittels folgenden Kommandos kann man sich alle Unterkategorien anzeigen lassen, um den passenden Namen zu finden:

auditpol /list /subcategory:*

Damit das Logging funktioniert, müssen nun noch die Berechtigungen angepasst werden. Hier sollte beachtet werden, dass man diese für so wenig Elemente wie möglich ändert, damit nur die Änderungen geloggt werden, die wirklich gewünscht sind.

Zum Ändern geht man wie folgt vor:

  1. Mittels Rechtsklick auf einen Schlüssel oder einen Ordner öffnet man das Kontextmenü und wählt Berechtigungen aus.

  2. Anschließend klickt man auf Erweitert und wechselt in den Auditing Tab.

  3. Dort fügt man nun einen Benutzer oder eine Gruppe hinzu und gibt Ihnen mindestens die Berechtigung zum Zugriff: Set Value.

  4. Nach einem Klick auf Übernehmen sind die Berechtigungen gesetzt.

Nun erscheinen alle Änderungen zu Keys, für welche die Berechtigungen gelten, im Event Viewer unter Windows Logs\Security.

Um das Logging wieder zu deaktivieren, muss folgender Befehl ausgeführt werden:

auditpol /set /subcategory:"Registry" /success:disable

Anschließend sollten die gewährten Berechtigungen wieder entzogen werden, um den Ursprungszustand wiederherzustellen.