Изучаем изменения в системном реестре
Утилита REGEDIT.EXE позволяет настроить проведение системного аудита для определенных разделов системного реестра. Стоит обратить внимание, что любой тип аудита желательно сопровождать предупреждениями, сообщающими пользователям, что производится контроль внесенных ими изменений в системный реестр.
1. Откройте редактор системного реестра (REGEDIT.EXE).
2. Выберите раздел для проверки (например, HKEY_LOCAL_MACHINE\Software).
3. В меню Правка (Edit) выберите команду Разрешения (Permissions).
4. Кликните на кнопке Дополнительно (Advanced).
5. Перескочите на вкладку Аудит (Auditing) и кликните на кнопке Добавить (Add).
6. Добавьте пользователей и свойства, которые необходимо проанализировать.
7. Кликните на кнопке OK.
Кроме того, необходимо удостовериться, что протоколирование аудита разрешено системной политикой.
1. Выберите команду Пуск > Программы > Администрирование > Локальная политика безопасности (Start > Programs > Administrative Tools > Local Security Policy).
2. Разверните ветку Локальные политики (Local Policies)
и выберите команду Политика аудита (Audit Policy).
3. Дважды кликните на разделе Аудит доступа к объектам (Audit object access).
4. Выберите параметры Успех (Success) и Отказ (Failure), после чего кликните на кнопке OK.
5. Закройте оснастку.
Для просмотра получаемых данных воспользуйтесь оснасткой Просмотр событий (Event Viewer) и журналом Безопасность (Security).