Czytanie plików ntuser.dat.log

5

Utworzyłem obiekt zasad grupy za pomocą konsoli Microsoft Management Console, aby uniemożliwić administratorom wykonywanie pewnych czynności (dostęp do panelu sterowania, uruchamianie regedit itp.). Niedawno odkryłem, że niektóre z tych ograniczeń zostały usunięte.

Badając ten problem, odkryłem, że ntuser.pol (plik przechowujący informacje o polityce grupy dla użytkownika) nadal odzwierciedla poprawne ustawienia, ale odpowiadający mu plik rejestru ntuser.dat nie.

Uważam, że pliki ntuser.dat.log1 i ntuser.dat.log2 mogą zawierać informacje o tym, który proces zmienił ntuser.dat i kiedy. Niestety pliki te są w formacie binarnym i nie mogę znaleźć dla nich czytnika. Zastanawiałem się, czy w rzeczywistości istnieje czytnik dla tego typu plików lub czy te pliki mogą być użyte w analizie sądowej zmian w ntuser.dat w jakiś inny sposób?

graf_ignotiev
źródło

Odpowiedzi:

2

Pliki dziennika gałęzi rejestru nie są dziennikami w tym sensie, że śledzą przeszłe zmiany, ale raczej dzienniki transakcji (jak dzienniki transakcji bazy danych). Tymczasowo przechowują wystarczającą ilość informacji, aby powtórzyć lub cofnąć oczekujące transakcje w gałęzi rejestru. Dlatego nie można dowiedzieć się, który proces zmienił ustawienie lub kiedy.

psusi
źródło
1
Dzięki. Będę musiał włączyć logowanie przez secpol.msc lub użyć Monitora procesu i poczekać i sprawdzić, czy zmiany się powtórzyły.
graf_ignotiev
Jeśli włączysz inspekcję, możesz umieścić kontrolne listy ACL w kluczach rejestru.
LawrenceC