[English]Kleiner Shortie zum Wochenende. In Windows 10 gibt es die Möglichkeit, Prozesse oder das Laden von DLLs und Treibern zu protokollieren. Die Option kann über die Code Integrity-Policy eingeschaltet werden.
Möglich ist dies per PowerShell über die Code Integrity Policy und das ConvertFrom-CIPolicy cmdlet. Ich bin die Tage über nachfolgenden Tweet auf die betreffenden Informationen von Matt Graber gestoßen.
Greaber hat in einer Folge von Tweets (hier geht es um User-Mode-Logging) diesen Ansatz vorgestellt. Möglicherweise ist das aber ein alter Hut für Administratoren, die mit diesen Policies arbeiten.
Anzeige
Geht bereits ab Windows XP und wird mit folgenden Registry-Eintraegen aktiviert:
— LOGGING.REG —
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"AuthentiCodeEnabled"=dword:00000000
"DefaultLevel"=dword:00040000 ; 'Unrestricted'
"ExecutableTypes"=hex(7):00,00
"Levels=dword:00071000 ; Enable all security levels
"LogFileName"="C:\\Windows\\Debug\\SAFER.log"
"PolicyScope"=dword:00000000 ; 'Users' and 'Administrators'
"TransparentEnabled"=dword:00000002 ; Executable files and DLLs
— EOF —
Nur 14 Jahre später, aber ebenfalls VOR Windows 10, gibt's auch https://support.microsoft.com/en-us/kb/3004375
Wer ein Protokoll (der Kommandozeilen) gestarteter Programme ab Windows 2000 haben will klickt auf den Link unter meinem Namen: https://skanthak.homepage.t-online.de/appinit.html
Außerdem gibt's noch
https://skanthak.homepage.t-online.de/appcert.html