ntuser.dat.logファイルの読み取り
Microsoft管理コンソールを使用してグループポリシーオブジェクトを作成し、非管理者が特定の操作(コントロールパネルへのアクセス、regeditの実行など)を実行できないように制限しました。最近、これらの制限のいくつかが削除されていることを発見しました。
問題を調査したところ、ntuser.pol(ユーザーのグループポリシー情報を保持するファイル)が正しい設定を反映していることがわかりましたが、対応するレジストリHiveファイルntuser.datは反映していませんでした。
Ntuser.dat.log1ファイルとntuser.dat.log2ファイルには、どのプロセスがntuser.datをいつ変更したかに関する情報が含まれている可能性があると思います。残念ながら、これらのファイルはバイナリ形式であり、それらのリーダーが見つかりません。実際、これらのタイプのファイルのリーダーがあるのか、それともこれらのファイルを他の方法でntuser.datの変更のフォレンジック分析に使用できるのか疑問に思いました。
レジストリHiveログファイルは、過去の変更を追跡するという意味でのログではなく、トランザクションログ(データベーストランザクションログなど)です。レジストリHiveへの保留中のトランザクションをやり直したり元に戻したりするのに十分な情報を一時的に保存します。したがって、どのプロセスがいつ設定を変更したかを把握することはできません。