Come rilevare modifiche agli elementi di avvio nel Registro di Windows

Audit Nativo

1. Esegui gpedit.msc → Crea un nuovo GPO → Modificalo: Vai a "Configurazione del computer" → Criteri → Impostazioni Windows → Impostazioni di sicurezza → Criteri locali → Criteri di controllo:
   • Verifica l'accesso agli oggetti → Definisci → "Successi" e "Fallimenti".
2. Vai al registro eventi → Definisci:
   • Imposta la dimensione massima del registro di sicurezza a 4gb
   • Metodo di conservazione per il registro di sicurezza su "Sovrascrivi eventi secondo necessità".
3. Collega il nuovo GPO all'OU con server Windows: Vai su "Gestione Criteri di Gruppo" → Clicca con il tasto destro sull'OU definito → Scegli "Collega un GPO esistente" → Scegli il GPO che hai creato.
4. Forza l'aggiornamento della policy di gruppo: In "Group Policy Management" clicca con il tasto destro sull'OU definita → Clicca "Group Policy Update".
5. Esegui "regedit" → Vai a "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" → Fai clic destro sulla chiave "Run" e seleziona "permessi" → Clicca su "Avanzate" → Seleziona la scheda "Controllo" → Clicca sul pulsante "Aggiungi":
   • Seleziona Principale: "Everyone"
   • Seleziona Tipo: "Tutti"
   • Seleziona Applica a: "Questa chiave e sottchiavi"
   • Seleziona Permessi Avanzati: "Crea Sottachiave", "Imposta Valore", "Crea Collegamento", "Scrivi DAC" e "Elimina".
6. Segui gli stessi passaggi per le seguenti chiavi di registro:
   • HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Run"
   • HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   • HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\.
7. Apri Visualizzatore eventi → Cerca nel registro di sicurezza l'ID evento 4657 (un valore del registro è stato modificato).

Netwrix Auditor per Windows Server

1. Esegui Netwrix Auditor → Vai su "Cerca" → Clicca su "Modalità avanzata" se non selezionata → Imposta i seguenti filtri:
   • Filter = "Quando"
     Operator = "Uguale a"
     Value = "Oggi"
   • Filter = "Tipo di oggetto"
     Operator = "Uguale a"
     Value = "Chiave di registro"
   • Filter = "Cosa"
     Operator = "Contiene"
     Value = "Esegui"
   • Filter = "Cosa"
     Operator = "Contiene"
     Value = "Installato"
2. Fai clic sul pulsante "Cerca" e controlla quali chiavi di registro sono state modificate e da chi.

Per creare un allarme attivato ogni volta che viene modificata una chiave di registro:

1. Dai risultati della ricerca, vai su "Strumenti" → Clicca su "Crea avviso" → Specifica il nome del nuovo avviso.
2. Passa alla scheda "Destinatari" → Clicca su "Aggiungi destinatario" → Specifica l'indirizzo email dove desideri che venga consegnato l'avviso.
3. Fai clic su "Aggiungi" per salvare l'allerta.