gra*_*iev 5 windows-registry group-policy
我使用 Microsoft 管理控制台创建了一个组策略对象,以限制非管理员执行某些操作(访问控制面板、运行 regedit 等)。最近,我发现其中一些限制已被删除。
在调查这个问题时,我发现 ntuser.pol(保存用户组策略信息的文件)仍然反映了正确的设置,但它对应的注册表配置单元文件 ntuser.dat 没有反映。
我相信 ntuser.dat.log1 和 ntuser.dat.log2 文件可能包含有关什么进程更改了 ntuser.dat 以及何时更改的信息。不幸的是,这些文件是二进制格式,我找不到阅读器。我想知道实际上是否有这些类型的文件的阅读器,或者这些文件是否可以以其他方式用于对 ntuser.dat 更改的取证分析?
注册表配置单元日志文件不是记录过去更改的日志,而是事务日志(如数据库事务日志)。它们临时存储足够的信息以重做或撤消注册表配置单元的待处理事务。因此,您无法弄清楚哪个进程或何时更改了设置。
| 归档时间: |
|
| 查看次数: |
15376 次 |
| 最近记录: |