레지스트리 변경/감사/감시 - 로컬 그룹 정책

레지스트리 변경 감사 

 

레지스트리가 윈도우 사용도중에 삭제되는 현상이 생겼다 그것도 스크린세이버를 자꾸 뭔가가 건들이고 있어서 찾고 있다. 도대체 어떤 프로세스가 건들이는지 확인 할 수가 없었다. 결국 시작프로그램 스크립트를 넣고 실행 레지스트리를 추가하는 것을 넣었는데 이것마저도 사용도중에 레지스트리를 어떤 프로세스가 건들이는 바람에 삭제되어버렸다 

도대체 왜...

 

그래서 레지스트리 변경할 때 어떻게 감지할 수 있을까 찾고 있긴 한데 사용하는 내내 프로세스 모니터를 통해서 볼 수도 없고 그냥 사후처리로 로그를 남기는게 가장 좋다고 생각하고 있어서... 로컬 그룹 정책을 한 번 사용해보려고 한다. 

 

 

시작 -> gpedit.msc 실행

로컬 그룹 정책 편집기를 열어서 컴퓨터 구성-> Windows 설정 -> 보안설정으로 들어간다. 

 

보안 설정을 보게되면 고급 감사 정책 구성이라는게 있다. 여기에 시스템 감사 정책 - 로컬 그룹 정책 개체를 확인하고

이후 개체 액세스 -> 레지스트리 감사를 클릭하여 열어 본다.

 

 

정책 탭에서 성공/실패를 모두 선택 한다. 추가적으로 설명을 보게 되면 레지스트리 개체에 대한 액세스 시도를

감사할 수 있다고 설명하고 있다. 

 

그러면 감사 로그는 어디서 볼 수 있을까..

이벤트 뷰어 - 보안쪽에서 확인할 수 있다. 다만 레지스트리가 변경될 때

이벤트 ID가 어떻게 찍히는지 사전에 알아볼 필요가 있다. 

 

 

아래 사이트를 참조하면 레지스트리 감사에 대한 이벤트 별 설명이 되어있다. 향후에 어떤 프로세스가 자꾸 변경시키는지 로그가 쌓이게 되면 확인하여 다시 한 번 리뷰할 생각이다...

docs.microsoft.com/ko-kr/windows/security/threat-protection/auditing/event-4657