Регистрируется ли Windows, когда пользователь пытается выполнить приложение, которого нет в белом списке?

Question

Регистрируется ли Windows, когда пользователь пытается выполнить приложение, которого нет в белом списке?

Я искал в Google несколько поисковых запросов, пытаясь выяснить, регистрируется ли Windows, когда пользователь пытается запустить приложение, которое не занесено в белый список, и если да, то в каком журнале событий.

Может кто-нибудь пролить некоторый свет на это?

Отредактировано, чтобы добавить детали: я говорю о белом списке с исключениями из Политики ограниченного использования программ, созданной в редакторе групповой политики. Если у пользователя есть разрешение на запуск только двух исполняемых файлов (foo.exe и bar.exe) и он пытается запустить третий исполняемый файл (grapes.exe), будет ли эта попытка запустить третий исполняемый файл, и если да, то каков информация регистрируется, и где она регистрируется?

0

windows event-log whitelist

Источник

Redblur 30 янв '15 в 16:55

1 ответ

Другие вопросы по тегам windows event-log whitelist

30 янв '15 в 17:15 2015-01-30 17:15 · Answer 1 · 2015-01-30 17:15

Я не уверен, что вы подразумеваете под "белым списком" в Windows, но эта операционная система сохраняет файлы журналов при открытии программы.

Ниже приведен список некоторых каталогов в Windows с информацией журнала.

проводник Виндоус

Описание: недавно открытые файлы из проводника Windows. Расположение: C: \ Users \\ AppData \ Roaming \ Microsoft \ Windows \ Recent Items Почему это важно: может быть полезно узнать, какие файлы были недавно открыты. Думаете, кто-то просматривает записи о растратах? Может быть, здесь есть указатель на файл Excel, который может привести вас к месту хранения данных. Вы также можете увидеть ссылки на видео и изображения здесь. Это приводило меня к личному смущению, когда я делал презентацию для ISSA.:) Вход: Irongeek, но благодаря Ниру.

Описание: элементы, недавно запущенные из панели "Выполнить" Расположение:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Почему это важно: полезно знать, что работает человек, с помощью панели запуска Windows, но в Vista и Windows 7 Многие люди используют текстовое поле "Поиск программ и файлов", которое не отображается в этом разделе реестра. Вход: Irongeek, но благодаря Ниру.

Описание: Местоположение службы поддержки пользователей: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist Почему вы заботитесь: Предполагается, что этот ключ содержит информацию о программах и ярлыках, к которым обращается Windows GUI, включая количество выполнений и дату последнего выполнения, но способ его хранения менее чем очевиден. У Дидье Стивенса есть инструмент для анализа данных здесь: http://blog.didierstevens.com/programs/userassist/ Версия, которую я тестировал, похоже, не работает в Windows 7, но г-н Стивенс в этом случае. Вход: Irongeek, но благодаря Ниру и Дидье Стивенсу.

Описание: Журналы событий Расположение: должно быть в C:\Windows\System32\config или C:\Windows\System32\winevt\ Журналы в зависимости от ОС. Почему это важно: их можно переместить, поэтому выполните поиск на рабочем столе для *.evt и *.evtx. Пусть вы знаете все виды вещей о том, что происходит на коробке. Вход по: Irongeek.

Эта информация была взята из Irongeeks, вы можете искать "UserAssist Didier Stevens", если вы хотите, чтобы программа с графическим интерфейсом для просмотра открытых программ.

Обратите внимание, что я не могу опубликовать ссылку на эти две вещи, потому что меня будут обвинять в спаме и продвижении сайта.