Как увидеть, какие параметры реестра изменяет объект групповой политики

Быстрые ссылки

• Использование Proc Mon для просмотра, какие параметры реестра изменяет объект групповой политики

Как использовать Proc Mon для просмотра изменений реестра при изменении GPO

Первое, что нужно сделать — скачать Proc Mon с сайта Sysinternals.

Распакуйте архив и запустите файл Procmon.exe.

Запустите Proc Mon двойным щелчком по Procmon.exe.

Когда Proc Mon открылся, добавьте условие фильтра таким образом:

Process Name is mmc.exe then Include

Эта строка фильтра оставит в логе только действия, выполненные оснасткой MMC, которая используется консолью управление групповой политикой. Далее нажмите кнопку добавления фильтра.

Чтобы отсечь все остальные операции и получить только записи в реестр, добавьте ещё один фильтр:

Operation is RegSetValue then Include

Этот фильтр показывает только операции записи значений реестра.

Когда оба правила добавлены, нажмите OK, чтобы применить фильтры.

Теперь откройте в MMC тот параметр групповой политики, который хотите изменить.

Перед тем как изменить настройку, вернитесь в Proc Mon и очистите текущий журнал с помощью кнопки очистки.

Затем в консоли групповой политики измените нужный параметр и нажмите Применить.

Если переключиться в Proc Mon, вы увидите строки с операциями RegSetValue. Найдите нужную запись, щёлкните правой кнопкой и выберите пункт Jump To…

Это откроет редактор реестра и автоматически перейдёт к точному ключу, который был изменён.

Важно

• Если у вас используется централизованный репозиторий административных шаблонов или локализация, некоторые параметры могут записываться в другие ветки реестра. Всегда проверяйте полный путь ключа в Regedit.
• Procmon собирает много данных. Фильтруйте по процессу и операции заранее, чтобы сократить шум.

Ключевые шаги

• Скачать Procmon и запустить Procmon.exe
• Добавить фильтры: Process Name is mmc.exe и Operation is RegSetValue
• Очистить журнал перед изменением GPO
• Изменить настройку в консоли и нажать Применить
• В Procmon выбрать запись и Jump To для открытия Regedit на нужном ключе

Критерии приёмки

• Видите одну или несколько записей RegSetValue в Procmon сразу после изменения настройки
• Переход Jump To открывает точный путь в Regedit
• Значение в реестре соответствует выбранной вами опции GPO

Когда это может не сработать

• Если изменение на стороне GPO не применяется локально (например, из-за кеширования или конфликтов), Procmon может не зафиксировать запись
• Параметры, применяемые с помощью сценариев (scripts) или расширенных администраторских шаблонов, могут записываться не из mmc.exe, а из других процессов (gpupdate, powershell, собственные утилиты)
• Если ваша среда использует языковую локализацию оснастки, имена меню могут отличаться

Альтернативные подходы

• gpresult /h report.html — для быстрого отчёта о применённых политиках
• Group Policy Management Console (GPMC) — просмотр приоритетов и наследования GPO
• Отслеживание через Event Viewer (Application и System) — для ошибок при применении политик
• Сравнение реестра до и после с помощью экспорта .reg или инструментов сравнения

Ментальные модели и подсказки

• Думайте о GPO как о наборе инструкций, которые при применении записывают значения в реестр. Procmon показывает эти «инструкции» как операции записи
• Фильтр по процессу и типу операции сокращает шум на 90% и делает исследование управляемым

Роль‑ориентированные чеклисты

• Для администратора:

  • Запустить Procmon от имени администратора
  • Добавить фильтры и очистить журнал
  • Изменить GPO и проверить Regedit через Jump To

• Для аналитика инцидентов:

  • Собрать лог Procmon (File > Save) с включёнными фильтрами
  • Сохранить снимок целевого ключа реестра
  • Зафиксировать время и пользователя, выполнившего изменение

Пошаговая методология (mini‑метод)

1. Подготовка: скачать и распаковать Procmon
2. Настроить фильтры: процесс mmc.exe и операция RegSetValue
3. Снять старые записи: очистить лог
4. Выполнить изменение GPO и применить
5. Найти запись RegSetValue и перейти к ключу в Regedit
6. Документировать результат

Процесс принятия решения (когда использовать ProcMon)

flowchart TD
  A[Нужно найти, что меняет GPO?] --> B{Изменения касаются реестра?}
  B -- Да --> C[Использовать ProcMon с фильтрами mmc.exe и RegSetValue]
  B -- Нет --> D[Использовать gpresult или GPMC]
  C --> E{Запись найдена}
  E -- Да --> F[Jump To -> Regedit -> документировать]
  E -- Нет --> G[Проверить другие процессы 'gpupdate, powershell', либо использовать аудит]

Советы по отладке и безопасность

• Запускайте Procmon с правами администратора, чтобы видеть все операции
• Не публикуйте логи Procmon в открытом виде — они могут содержать конфиденциальные ключи

Итог

Procmon — надёжный инструмент для быстрого определения того, какие ключи реестра изменяет объект групповой политики. Правильная настройка фильтров и аккуратное документирование позволяют администраторам точно понять, куда и как записываются значения при применении GPO.