ADサーバにおいてレジストリの追加・更新監視を行っておりますが、以下のようなハードウェアプロファイルの追加が行われました。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Control\Print\Printers\Fax (リダイレクト 3)
プリンタやFaxの追加等は行っていないため、なぜ追加されたのかが不明です。
このレジストリが追加されたタイミングでやっていたことと言えば、ドメインユーザに新たにAdministrators権限を追加し、そのユーザでリモートデスクトップでログインするというようなことです。
なんどかこのような追加が行われており、監視すべき項目かどうか判断がつきません。
なにか情報をお持ちであれば教えていただけませんでしょうか。