yrios
Auditor铆a del registro de Windows
Para hacer una auditoria de registro de Windows, se siguen los siguientes pasos:
- El registro de Windows almacena todos los ajustes de configuraci贸n de las aplicaciones y sistemas.
- OS registra cada acci贸n tomada por el usuario en el registro.
- Mantiene las claves de registro para diversas acciones del usuario en t茅rminos de registro, ubicaciones de ejecuci贸n autom谩tica, listas MRU, User Assist, etc.
- Las organizaciones generalmente no auditan el registro de las estaciones de trabajo.
- La supervisi贸n y auditor铆a regulares del registro pueden ayudarlo a dejar rastros de actividad maliciosa en el sistema.
- Utilice la utilidad Procesos del Monitor para monitorear la actividad de registro en tiempo real.
El registro de Windows, tambi茅n
conocido como registro, es una base de datos de todas las configuraciones de
configuraci贸n de Microsoft Windows. El registro de Windows almacena detalles
como configuraciones para programas de software, dispositivos de hardware,
preferencias del usuario, configuraciones del sistema operativo.
De un vistazo, el registro de Windows consta de todos los detalles relacionados con el sistema operativo. Para acceder al registro de Windows, el usuario debe ejecutar el comando regedit en el s铆mbolo del sistema. La ventana de registro de Windows es la siguiente:
De un vistazo, el registro de Windows consta de todos los detalles relacionados con el sistema operativo. Para acceder al registro de Windows, el usuario debe ejecutar el comando regedit en el s铆mbolo del sistema. La ventana de registro de Windows es la siguiente:
Una clave de registro es similar
a las carpetas. Las carpetas contienen archivos, mientras que las claves de
registro contienen valores de registro y otras subclaves. Las Colmenas de
registro son el grupo de claves de registro que se encuentran en la parte
superior de la jerarqu铆a. Las claves de registro son las siguientes:
- HKEY_LOCAL_MACHINE \ SOFTWARE \ MICROSOFT: Aqu铆, HKEY_LOCAL_MACHINE es la secci贸n de registro y software y los grupos de Microsoft bajo esta secci贸n de registro. Microsoft cae bajo la clave de registro del software.
- HKEY_CURRENT_CONFIG: esta clave de registro contiene informaci贸n sobre el perfil de hardware utilizado actualmente.
- HKEY_CURRENT_USER: este registro proporciona todos los detalles sobre los usuarios que est谩n actualmente presentes en la computadora. Los detalles del usuario incluyen: configuraciones de escritorio, conexiones de red, impresoras, preferencias de aplicaciones, grupos de programas personales. Cada vez que un usuario inicia sesi贸n, se crea una nueva subclave HKEY_CURRENT_USER.
- HKEY_CLASSES_ROOT: esta clave contiene las extensiones de nombre de archivo y la informaci贸n de registro de la clase COM.
Herramienta de monitor de proceso
La herramienta de monitoreo de
procesos (Procmon) es una de las herramientas de monitoreo que ayudan a los
administradores a monitorear y auditar el registro, el sistema de archivos y la
red. Captura tipos espec铆ficos de operaciones de entrada / salida, que pueden
ocurrir a trav茅s del registro, el sistema de archivos o la red.
Combina las caracter铆sticas de Filemon y Regmon, dando as铆 resultados en tiempo real relacionados con el sistema de archivos y el registro.
Combina las caracter铆sticas de Filemon y Regmon, dando as铆 resultados en tiempo real relacionados con el sistema de archivos y el registro.
Algunas de las caracter铆sticas de
Procesos de Monitor incluyen:
- Captura datos de entrada y salida
- Permite configurar filtros seg煤n los requisitos del usuario. Reducci贸n de la p茅rdida de datos.
- Se puede rastrear informaci贸n precisa del proceso
- El formato de registro nativo almacena todos los datos en una ubicaci贸n