So erkennen Sie Änderungen an Startelementen in der Windows-Registrierung

Native Prüfung

1. Führen Sie gpedit.msc aus → Erstellen Sie eine neue GPO → Bearbeiten Sie diese: Navigieren Sie zu "Computerkonfiguration" → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Überwachungsrichtlinie:
   • Auditieren Sie den Objektzugriff → Definieren → "Erfolge" und "Fehler".
2. Gehe zum Event Log → Definieren:
   • Maximale Sicherheitsprotokollgröße auf 4 GB
   • Methode zur Aufbewahrung des Sicherheitsprotokolls auf „Ereignisse bei Bedarf überschreiben“.
3. Verknüpfen Sie die neue GPO mit der OU, auf der Windows-Server laufen: Gehen Sie zu „Gruppenrichtlinienverwaltung“ → Rechtsklicken Sie auf die definierte OU → Wählen Sie „Vorhandene GPO verknüpfen“ → Wählen Sie die GPO, die Sie erstellt haben.
4. Erzwingen Sie das Gruppenrichtlinien-Update: Klicken Sie in "Group Policy Management" mit der rechten Maustaste auf die definierte OU → Klicken Sie auf "Group Policy Update".
5. Führen Sie "regedit" aus → Navigieren Sie zu "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" → Rechtsklicken Sie auf den Schlüssel "Run" und wählen Sie "Berechtigungen" → Klicken Sie auf "Erweitert" → Wählen Sie den Tab "Überwachung" → Klicken Sie auf die Schaltfläche "Hinzufügen":
   • Hauptbenutzer auswählen: "Jeder"
   • Typ auswählen: „Alle“
   • Wählen Sie Gilt für: "Diese Schlüssel und Unterschlüssel"
   • Wählen Sie Erweiterte Berechtigungen: „Subkey erstellen“, „Wert festlegen“, „Link erstellen“, „DAC schreiben“ und „Löschen“.
6. Gehen Sie mit den folgenden Registrierungsschlüsseln genauso vor:
   • HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Run"
   • HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   • HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\.
7. Öffnen Sie den Ereignisanzeiger → Suchen Sie im Sicherheitsprotokoll nach Ereignis-ID 4657 (ein Registrierungswert wurde geändert).

Netwrix Auditor für Windows Server

1. Netwrix Auditor starten → Navigieren Sie zu "Suche" → Klicken Sie auf "Erweiterter Modus", falls nicht ausgewählt → Richten Sie die folgenden Filter ein:
   • Filter = "Wann"
     Operator = "Gleich"
     Wert = "Heute"
   • Filter = "Objekttyp"
     Operator = "Gleich"
     Wert = "Registrierungsschlüssel"
   • Filter = "Was"
     Operator = "Enthält"
     Wert = "Ausführen"
   • Filter = "Was"
     Operator = "Enthält"
     Wert = "Installiert"
2. Klicken Sie auf die Schaltfläche "Suchen" und überprüfen Sie, welche Registrierungsschlüssel geändert wurden und wer das getan hat.

Um einen Alarm auszulösen, jedes Mal wenn ein Registrierungsschlüssel geändert wird:

1. Navigieren Sie von den Suchergebnissen zu „Tools“ → Klicken Sie auf „Alert erstellen“ → Geben Sie den Namen des neuen Alerts an.
2. Wechseln Sie zur Registerkarte „Empfänger“ → Klicken Sie auf „Empfänger hinzufügen“ → Geben Sie die E-Mail-Adresse an, an die der Alarm gesendet werden soll.
3. Klicken Sie auf „Hinzufügen“, um den Alarm zu speichern.