जब कोई उपयोगकर्ता पहले लॉग ऑन करता है और उसका प्रोफ़ाइल फ़ोल्डर बनाया जाता है, तो उसका उपयोगकर्ता हाइव डिफ़ॉल्ट उपयोगकर्ता हाइव की एक प्रति के रूप में आरंभीकृत किया जाता है, इसे संग्रहीत किया जाता है:
C:\Users\Default\NTUSER.DAT
प्रोफ़ाइल बनने के बाद, प्रतियां स्वतंत्र होती हैं, इसलिए सभी उपयोगकर्ताओं के प्रोफाइल को एक शॉट में संपादित करने का कोई सुविधाजनक तरीका नहीं है। यदि, हालांकि, आप उस छत्ते को लोड करते हैं और संपादित करते हैं , तो परिवर्तन किसी भी बाद में बनाए गए प्रोफाइल में परिलक्षित होंगे।
Classesकुंजी एक अलग छत्ता है कि आप लोड और अलग से संपादित कर सकते हैं में संग्रहीत है:
%USERPROFILE%\AppData\Local\Microsoft\Windows\UsrClass.dat
दुर्भाग्य से, कोई डिफ़ॉल्ट कक्षाएं हाइव नहीं हैं; जब प्रोफ़ाइल बनाई जाती है तो यह एक खाली हाइव के लिए आरंभिक प्रतीत होता है।
आपके लिए यह सब कम थकाऊ होने से निपटने के लिए, मैंने नीचे दिए गए सभी उपप्रकारों में से प्रत्येक पर एक ऑडिट नियम को पॉवरशेल स्क्रिप्ट लिखी HKEY_USERS। लेकिन पहले, हमें ऑडिटिंग विशेषाधिकार को सक्षम करने की आवश्यकता है, जो कोड की एक आश्चर्यजनक राशि को पुनः प्राप्त करता है ( ली होम्स से अनुकूलित ):
param(
## The privilege to adjust.
$Privilege,
## The process on which to adjust the privilege. Defaults to the current process.
$ProcessId = $pid,
## Switch to disable the privilege, rather than enable it.
[Switch] $Disable
)
## Taken from P/Invoke.NET with minor adjustments.
$definition = @'
using System;
using System.Runtime.InteropServices;
public class AdjPriv
{
[DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
internal static extern bool AdjustTokenPrivileges(IntPtr htok, bool disall,
ref TokPriv1Luid newst, int len, IntPtr prev, IntPtr relen);
[DllImport("advapi32.dll", ExactSpelling = true, SetLastError = true)]
internal static extern bool OpenProcessToken(IntPtr h, int acc, ref IntPtr phtok);
[DllImport("advapi32.dll", SetLastError = true)]
internal static extern bool LookupPrivilegeValue(string host, string name, ref long pluid);
[StructLayout(LayoutKind.Sequential, Pack = 1)]
internal struct TokPriv1Luid
{
public int Count;
public long Luid;
public int Attr;
}
internal const int SE_PRIVILEGE_ENABLED = 0x00000002;
internal const int SE_PRIVILEGE_DISABLED = 0x00000000;
internal const int TOKEN_QUERY = 0x00000008;
internal const int TOKEN_ADJUST_PRIVILEGES = 0x00000020;
public static bool EnablePrivilege(long processHandle, string privilege, bool disable)
{
bool retVal;
TokPriv1Luid tp;
IntPtr hproc = new IntPtr(processHandle);
IntPtr htok = IntPtr.Zero;
retVal = OpenProcessToken(hproc, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, ref htok);
tp.Count = 1;
tp.Luid = 0;
if(disable)
{
tp.Attr = SE_PRIVILEGE_DISABLED;
}
else
{
tp.Attr = SE_PRIVILEGE_ENABLED;
}
retVal = LookupPrivilegeValue(null, privilege, ref tp.Luid);
retVal = AdjustTokenPrivileges(htok, false, ref tp, 0, IntPtr.Zero, IntPtr.Zero);
return retVal;
}
}
'@
$processHandle = (Get-Process -id $ProcessId).Handle
try {
Add-Type $definition
} catch {} # Silent failure on re-registration
[AdjPriv]::EnablePrivilege($processHandle, $Privilege, $Disable)
उस के रूप में सहेजें privs.ps1। फिर हम इसे अपनी स्क्रिप्ट में उपयोग कर सकते हैं, जिसे उसी निर्देशिका में जाना चाहिए:
Param (
[string[]]$Subkeys
)
$rights = 'ChangePermissions,CreateSubKey,CreateLink,Delete,SetValue,TakeOwnership'
.\privs.ps1 -Privilege SeSecurityPrivilege
$users = [Microsoft.Win32.RegistryKey]::OpenBaseKey('Users', 'Default')
$Subkeys | % {
$key = $users.OpenSubKey($_, $true)
$acl = $key.GetAccessControl()
$rule = [System.Security.AccessControl.RegistryAuditRule]::new([System.Security.Principal.NTAccount]::new('Everyone'), $rights, 'ContainerInherit,ObjectInherit', 'None', 'Success')
$acl.AddAuditRule($rule)
$key.SetAccessControl($acl)
$key.Close()
}
दिए गए प्रत्येक उपकुंजियों के लिए, यह एक नियम बनाता है $rightsजो उस कुंजी या उपकुंजियों में सफल परिवर्तनों ( शीर्ष के निकट चर द्वारा परिभाषित , जिसे आप बदल सकते हैं) का ऑडिट करता है । इसे PS1 फ़ाइल के रूप में सहेजें, जैसे regaudit.ps1। यदि आप पहले से नहीं हैं, तो PowerShell टैग विकी में निर्देशित PowerShell स्क्रिप्ट निष्पादन को सक्षम करें । फिर के तहत सभी आवश्यक पित्ती लोड करें HKEY_USERS। आप स्क्रिप्ट को ऊंचे PowerShell प्रॉम्प्ट से चला सकते हैं जैसे:
.\regaudit.ps1 -Subkeys 'Steven\Control Panel', 'Steven\Software\Microsoft'
ध्यान दें कि आपको HKCUऐसी किसी भी जड़ को शामिल नहीं करना चाहिए । आप जितने चाहें उतने उपकुंजियों को पास कर सकते हैं। वैकल्पिक रूप से, आप प्रति पंक्ति एक उपकुंजी के साथ एक पाठ फ़ाइल बना सकते हैं और इसका उपयोग कर सकते हैं:
.\regaudit.ps1 -Subkeys (gc .\toaudit.txt)
जब तक "ऑडिट ऑब्जेक्ट एक्सेस" स्थानीय सुरक्षा नीति के ऑडिट नीति अनुभाग में सक्षम न हो, एनबी ऑडिट इवेंट्स सुरक्षा लॉग में दिखाई नहीं देगा।
आगे पढ़ने: .NET में प्रवेश नियंत्रण