Surveillance des modifications des clés de registre critiques sur Windows
Introduction• Ce tutoriel vous explique comment surveiller les modifications des clés de registre critiques sous Windows.
• Cela permet d’assurer la sécurité de votre système et de détecter d'éventuelles activités malveillantes.
Prérequis• Un ordinateur exécutant Windows 10 ou Windows 11.
• Droits d'administrateur sur le système.
• Familiarité avec les commandes PowerShell.
Méthodologie• Voici deux approches pour surveiller les clés de registre :
Méthode 1 : Utilisation de l’outil natif Observateur d'événements.
Méthode 2 : Utilisation d’un script PowerShell.
Avantages des deux méthodes• Méthode 1 : Simple, sans besoin de script ou d’outil externe.
• Méthode 2 : Flexible, permet de surveiller des clés spécifiques et d’automatiser les alertes.
Inconvénients des deux méthodes• Méthode 1 : Moins personnalisable et peut générer des logs volumineux.
• Méthode 2 : Nécessite des connaissances en scripting.
Étapes pour chaque méthodeMéthode 1 : Utilisation de l’Observateur d’événements
Ouvrez l’Observateur d’événements (Win + R, tapez eventvwr).
Naviguez jusqu’à Journaux Windows > Sécurité.
Activez l’audit des modifications de clé de registre :
• Ouvrez Local Security Policy (secpol.msc).
• Accédez à Stratégies locales > Audit de sécurité > Auditer les accès au registre.
• Ajoutez les clés à surveiller via Regedit > Autorisations > Audit.
Méthode 2 : Utilisation d’un script PowerShell
Lancez PowerShell en tant qu’administrateur.
Copiez et collez le script suivant dans PowerShell pour surveiller une clé :
Code:
$KeyPath = "HKLM:\SOFTWARE\Microsoft"
Register-WmiEvent -Query "SELECT * FROM RegistryTreeChangeEvent WHERE Hive='HKEY_LOCAL_MACHINE' AND RootPath='SOFTWARE\Microsoft'" -Action {
Write-Output "Changement détecté dans la clé $($Event.SourceEventArgs.NewEvent.RootPath)"
}Remplacez le chemin par la clé que vous souhaitez surveiller.
Laissez le script actif pour enregistrer les modifications en temps réel.
Astuce• Sauvegardez vos clés de registre critiques avant d’activer une surveillance pour éviter des pertes accidentelles.
Mise en garde• Ne modifiez pas les clés critiques si vous n’êtes pas sûr de l’impact. Cela pourrait rendre votre système instable.
Conseil• Utilisez un outil tiers comme Sysmon pour des capacités de surveillance avancées.
Solution alternative• Configurez des alertes automatiques avec Task Scheduler et un script PowerShell.
RéférencesWindows :
• Support Microsoft
• Microsoft Learn
Conclusion• Vous avez appris à surveiller les modifications des clés de registre critiques sous Windows à l'aide de deux méthodes.
• Cela renforce la sécurité de votre système.
Dernière édition:
