Verwenden Sie stattdessen RegFromApp . Hängen Sie es an das MMC.exe, auf dem gpedit ausgeführt wird, und klicken Sie auf den grünen Pfeil, um die Protokollierung zu starten. Wenn Sie die Einträge ändern, generiert das Tool eine REG-Datei, die Sie speichern und später erneut verwenden können.
Wie kann ich Process Monitor zum Erkennen von Registeränderungen verwenden, die durch GPEdit-Änderungen vorgenommen wurden?
3329
Sopalajo de Arrierez
Es wird angenommen, dass Process Monitor die von jedem Programm vorgenommenen Registrierungsänderungen erfassen kann . Dieser Thread erklärt es gut (danke, James T).
Es scheint jedoch, dass die Dinge nicht so einfach sind, wenn man über Group Policies Editor ( gpedit.msc) spricht, da ich mehr als 738 Registrierungsereignisse bekomme, wenn ich nur einen Eintrag ändern möchte:
User Configuration -> Administrative Templates -> Code signing for drivers 
Wie kann ich die spezifische Registrierungsänderung für meine durchgeführte GPEdit-Änderung isolieren ?
Neue Daten:
Wie von Frank Thomas vorgeschlagen (Danke), gab es nur einen RegSetValueEintrag, genannt HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Policies\Microsoft\Windows NT\Driver Signing\BehaviorOnFailedVerify.
Diesen BehaviorOnFailedVerifySchlüssel habe ich geändert, aber dieser Schlüssel wurde an mehreren Stellen im Register geändert :
- Um
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Policies\Microsoft\Windows NT\Driver Signingwie angegeben. - Bei
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows NT\Driver Signing. - Bei
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Policies\Microsoft\Windows NT\Driver Signing. - Bei
HKEY_USERS\S-1-5-21-1389804526-12218611-1726603683-1004\Software\Policies\Microsoft\Windows NT\Driver Signing.
Dies ist: vier Änderungen und nur eine davon wurde von Process Monitor erkannt.
Ist das richtig? Warum?
Wenn Sie vorgeben, dieselbe Änderung über den regBefehl auszuführen (ohne zu verwenden gpedit.msc, welche sollte ich ändern? Alle vier?
Hinweis : Ich habe es nicht erklärt, solange ich es nicht für notwendig hielt, aber meine ursprüngliche Idee bestand darin, den Schlüssel BehaviorOnFailedVerifyüber eine Remote-Shell (wie SSH oder Telnet) zu ändern . Hinweis-2 : Für diejenigen, die sich fragen, was diese Änderung bewirkt: Die Anforderung zur Überprüfung der Treibersignatur wird deaktiviert, sodass der GUI-Benutzer bei der Installation einiger nicht signierter Treiber wie TAP-Treiber (Netzwerk) für die unbeaufsichtigte OpenVPN-Installation nicht aufgefordert wird.
Jeder Eintrag, den Sie anzeigen, außer dem hervorgehobenen Eintrag, ist ein RegQueryKey-, RegEnumKey-, RegOpenKey- oder RegCloseKey-Ereignis. Das bedeutet, dass der Prozess das Lesen des Registers liest, während Ihr RegSetValue-Ereignis das Ereignis ist, in das die Registrierung geschrieben wurde. Sie können nach diesem Ereignis filtern. Wenn Sie über den vollständigen Pfad des Schlüssels verfügen, filtern Sie den Pfad.
Frank Thomas vor 8 Jahren
0
In der Tat @FrankThomas. Ich bin mir aber noch nicht sicher, ob das Verfahren funktioniert. Aktualisierter Beitrag; lesen Sie bitte.
Sopalajo de Arrierez vor 8 Jahren
0
Versuchen Sie, eine `Contains`-Abfrage (anstelle eines` is`) im Pfadfilter zu verwenden, sodass Sie nur mit `BehaviorOnFailedVerify` oder` Windows NT \ Driver Signing` abgleichen.
Frank Thomas vor 8 Jahren
1
1 Antwort auf die Frage
3
magicandre1981
Vielen Dank, magicandre1981. Dieses scheint das richtige Programm zu sein, um Änderungen in der Registrierung zu überwachen. Es hat jedoch immer noch das gleiche Problem in Bezug auf den Teil der ursprünglichen Frage, der an mehreren Stellen im Register geändert wurde: RegFromApp erkennt nur eine der vier Änderungen im Register. Vielleicht gibt es keine exakte Übereinstimmung zwischen register und GPEdit?
Sopalajo de Arrierez vor 8 Jahren
0
Was meinst du mit "an mehreren Stellen am Register geändert"?
magicandre1981 vor 8 Jahren
0
Die vier Aufzählungspunkte sind ein Beispiel für die vier Änderungen, die ich entdeckt habe (durch Suchen in RegEdit). Wie bereits erwähnt, wurde von Process Monitor und RegFromApp nur einer erkannt.
Sopalajo de Arrierez vor 8 Jahren
0
Welchen Schlüssel erkennt das Tool? Der Wert unter ** HKEY_CURRENT_USER \ Software \ Policies ** sollte ausreichen.
magicandre1981 vor 8 Jahren
0
Das Tool erkennt nur den ersten der vier Werte (siehe Teil "Neue Daten" der Frage). Dies ist: `HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy Objects \ Benutzer \ Software \ Richtlinien \ Microsoft \ Windows NT \ Driver Signing`.
Sopalajo de Arrierez vor 8 Jahren
0
Wenn Sie "sollte genug" sagen, meinen Sie, dass das Ändern des Werts unter `HKEY_CURRENT_USER \ Software \ Policies 'zu einer Art Kaskadenänderung bei den anderen drei führt? Könntest du erklären, warum das passieren soll?
Sopalajo de Arrierez vor 8 Jahren
0
Nein, die anderen scheinen Statuswerte zu sein, so dass gpedit weiß, was sich von selbst geändert hat und was von anderen Tools.
magicandre1981 vor 8 Jahren
0
Verwandte Probleme
-
12
Warum wird der Ordner / winsxs so groß und kann er verkleinert werden?
-
2
Erhöhte Berechtigungen für Startanwendungen in Windows?
-
14
PDF Viewer unter Windows
-
7
Welche Windows-Dienste kann ich sicher deaktivieren?
-
8
Firefox PDF-Plugin zum Anzeigen von PDF-Dateien im Browser unter Windows
-
1
Windows verliert das Bildschirmlayout
-
1
Gibt es eine Möglichkeit, Installationen / Updates zu verhindern, die meine Festplatte mit kryptisch...
-
1
Wie kann ich von Ubuntu aus über das Netzwerk auf Windows Vista-Drucker zugreifen?
-
6
Log Viewer unter Windows
-
3
Windows-Hintergrundproblem mit zwei Bildschirmen