组策略和登录档监控--gpedit.msc及Process Monitor

今天预计要来介绍两支程序,让编辑登录档稍微安全的组策略编辑器(gpedit.msc)跟监控系统大小变化的Process Monitor,这是笔者这几天研究登录档常常跳出来的关键字,其实也是好用的工具。


组策略编辑器-gpedit.msc

这要先谈到什麽是组策略,又称群组原则(Group Policy),它可以控制使用者帐户和电脑帐户的工作环境,同时可以集中化管理和组态,简单来说就是一些登录档设定集合,用自然语言描述意义然後把它们框成一个个子设定,对使用者友善,而这个gpedit.msc就是Group Policy Editor,这些是Windows内建的一个提供GUI介面群编辑这些组策略的软件,他提供的配置内容大多数都是安全的,通常Win+R输入gpedit.msc就可以执行了,但是後来微软只他在Windows专业版的系统安装,家用版搜寻会找不到。
Imgur
其实後来会发现这些稍微特别专业点的工具,家用版好像都少了一些,於是网路上也流传许多如何在家用版上安装这些东东的作法,以Windows 10为例,通常我们会查到这段文本,叫你存成.bat或.cmd用系统管理员执行。

@echo off 
pushd "%~dp0" 
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt 
dir /b %SystemRoot%\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt 
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"%SystemRoot%\servicing\Packages\%%i"
pause

Imgur
这段代码各大网站查都一样所以还算可以信任,这边简单说明一下就是用Dir指令去把两个档案的路径暂存到List.txt,然後以Dism指令去路径上安装两个package,所以执行完出现的List.txt也可以删除。
在文末的参考网站中也有写到许多其他的方法,甚至是对Windows11也有人给出解法并向下相容Win10,笔者最後也是使用这个方法,他在参考资料的第三个网站中。各种方法因应不同系统不一定有用,使用前可以先建立系统还原点,安装完重启系统比较好。
Imgur

於是Win+R输入gpedit.msc他就出现了
Imgur

如果最後还是不行大家也可以去找Policy Plus,他是第三方应用可以取代组策略编辑器的工具,而且还具有搜索功能,是一个替代方案。

所以gpedit.msc这个工具让我们不用手动编辑某些登录档,我们可以看到他主要分为电脑设定和使用者设定两大项,类似我们一开始说的HKEY_LOCAL_MACHINEHKEY_USERS两大主键。举例来说,上次设定的Windows欢迎页面文字就可以在这里找到设定。
Imgur

也有解说页面可以参考
Imgur

总之这是一个容易上手的工具,大家有空可以玩玩看,但当我们编辑完後你可能会很疑惑,所以我的登录档究竟改了哪一条,这时候後我们可以用另一个微软官网上的工具-Process Monitor,来监测登录档的时时刻刻的变化。


Process Monitor

正如其名,他是监控程序的程序,是结合过去SysInternals开发的File Monitor(FileMon)跟Registry Monitor(RegMon)两套软件开发而成的(他们一个监测档案读写,一个监测登录档读写)。

根据维基百科我们得知,Process Monitor可以监视并记录针对Windows登录档的所有操作,可检测读取和写入登录档项的失败尝试。它还允许过滤特定的键、程序ID和值等等,也可以看出应用程序如何使用文件和DLL,检测系统文件中的一些严重错误等等。
我们可以到这里下载:
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Imgur
打开後的大概长这样,首先第一件事是那排ToolBar从左至右数来第三个捕捉框的图示,是启用捕捉监控的意思,上图那样亮着代表开启,会一直捕捉事件,可以先按一下把它关掉以免不自觉间占用大量虚拟记忆体(记忆体分页)。
按下红色垃圾桶(第五个按钮)会清除下面的事件纪录。
按第四个按钮会自动下卷显示最新资料。
最後五个按钮可以决定要显示的事件类别有哪些。
最下方状态列会显示目前捕捉的事件数。

这时候你会发现无时无刻的大量事件让你头昏眼花,所以这个程序的精华在使用filtere过滤器(那个漏斗图案),他会过滤显示的内容(但还是全部捕捉)。
Imgur
他的设定条件是类似一句句的陈述式,上面的Architecture是条件要指定的栏位,is式条件的运算子,第三个栏位是要筛选的特定字串值,最後include可以选择要不要反向选取,选完後按下Add才会加入下方的筛选条件。

举个例子,如果我们想看锁定工作列会修改什麽登录档,可以设定一个filter条件为Operation-is-RegSetValue-include和Process Name-is-Explorer.exe-include,把他们都Add进入筛选条件如下图。
Imgur

接着启用捕捉,去锁定工作列再停止捕捉
Imgur

大概会看到这个画面
Imgur

从path你发现应该是TaskbarSizeMove这项登录值,所以双击最後一项事件。
ImgurImgur
从详细资料的event来看我们可以了解刚刚更动的登录档的位置、属性跟改写成什麽值,隔壁切入process分页可以看到操作这个登录的程序的详细资料,有时候也可以从这里找出是不是有病毒在改写登录档。

总之,你会发现Process Monitor可以说是专业开发人员在侦错的常用工具,有空没事都可以载来玩玩看,捕捉纪录时不要开太久小心虚拟记忆体塞满就好,否则这没什麽危险性,搭配前面的gpedit.msc服用也是不错的选择,今天就讲到这里,下篇用笔者先前略提的WiseRegCleaner,我们来研究看看什麽登录档属於无用登录档可以删除。

Imgur

参考资料:
https://zh.wikipedia.org/wiki/%E7%BB%84%E7%AD%96%E7%95%A5
https://www.itechtics.com/enable-gpedit-windows-10-home/
https://www.itechtics.com/enable-gpedit-msc-windows-11/
https://blog.timshan.idv.tw/2018/10/how-to-windows10-gpeditmsc.html
https://en.wikipedia.org/wiki/Process_Monitor
https://adamtheautomator.com/procmon/


<<:  Day07:部门与工程团队间协作的技巧(上)

>>:  Day6_HTML语法3

认识 CSS animation 与他的孩子们 (一)

keyframes 定义关键影格的各自状态,不同关键影格组成动态变化,但我们在定义keyframes...

投资前的第一铁则

我的投资方式是以「股票」为主,若你没有在接触的话,之後要讲的观念可能对你帮助不大。 进入正题前,要先...

Day26 - 使用 Share Target Picker 分享讯息

LINE Developers:https://developers.line.biz/zh-ha...

[Day1] JavaScript Drum Kit

关於 Javascript 30天 课程介绍 Javascript30,是由加拿大全端工程师 Wes...

[重构倒数第26天] - 你可能不需要Vuex (You might not need Vuex)

前言 该系列是为了让看过Vue官方文件或学过Vue但是却不知道怎麽下手去重构现在有的网站而去规画的系...