如何使用 Process Monitor 检测由 GPEdit 修改引起的寄存器更改?
Sop*_*rez 5 windows gpedit process-monitor
假设进程监视器可以捕获任何程序所做的注册表更改。这个线程解释得很好(谢谢你,James T)。
但是在谈论组策略编辑器( gpedit.msc)时似乎事情并不那么容易,因为在尝试仅更改一个条目时,我收到了超过 738 个注册事件:
User Configuration -> Administrative Templates -> Code signing for drivers
如何为我执行的 GPEdit 更改隔离特定的注册表更改?
新数据:
正如 Frank Thomas 所建议的(谢谢),只有一个RegSetValue条目,名为HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify.
这个BehaviorOnFailedVerify键是我要改变的,但是这个键在登记处的多个地方都被改变了:
- 在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing如上所述。 - 在
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing。 - 在
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{7C9BF3F4-1B9E-476F-871D-D20B09E6DA5A}User\Software\Policies\Microsoft\Windows NT\Driver Signing。 - 在
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing。
这是:四个更改,进程监视器仅检测到其中一个。
这样对吗?为什么?
如果假装通过reg命令执行相同的更改(不使用gpedit.msc,我应该更改哪一个?所有四个?
注意:我没有解释,只要我认为没有必要,但我最初的想法是能够BehaviorOnFailedVerify通过远程 shell更改密钥,例如 SSH 或 telnet)。
注2:对于那些想知道此更改有什么影响的人:它禁用了驱动程序签名验证请求,因此在安装一些未签名的驱动程序(如用于 OpenVPN 无人值守安装的 TAP 驱动程序(网络))时,不会向 GUI 用户提示屏幕。
| 归档时间: |
|
| 查看次数: |
4872 次 |
| 最近记录: |