Аудит изменений реестра в Windows средствами системы

Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.

Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security. Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.

Давайте же посмотрим, как задействовать эти инструменты.

Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.

Локальная политика безопасности

Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».

Аудит доступа к объектам

Сохраните настройки.

Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.

Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».

Редактор реестра

Для примера мы выбрали подраздел SOFTWARE, именно в него заносят записи большинство устанавливаемых приложений.

В открывшемся окошке жмем «Дополнительно».

Дополнительно

И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».

Аудит

В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».

Выберите субъект

И еще раз «OK».

Найдено несколько имен

Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.

Элемент аудита

Параметры - аудит

Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:

4656код указывает на попытку пользователя получить доступ к ключу реестра.
4657этот код указывает на изменение какого-либо параметра в реестре.
4660запись с этим кодом события будет сделана при удалении параметра.
4663код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.

Рассмотрим всё на конкретном примере.

Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».

Безопасность

Вводим код интересующего нас события в поле фильтра.

Фильтр текущего журнала

Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.

Свойства событий

Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.

Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.

Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.

Window Resizer — портативная утилита для восстановления размера и координат окон в Windows 10

Существует несколько способов изменения размера окна и его местоположения на рабочем столе, но чаще всего Читать далее

Сообщение «Компьютер загружен с установочного носителя Windows» — в чем причина и как обновить систему

Обновить Windows до новой версии можно не только через штатный Центр обновления. Пользователь может записать Читать далее

Как устранить запуск восстановления Windows в системах UEFI, если место загрузчика VeraCrypt занял загрузчик Windows

Как известно, популярная программа VeraCrypt умеет не только создавать зашифрованные контейнеры, но и шифровать целые Читать далее

TenStartMenuFixer — простейшая утилита для восстановления меню Пуск Windows 10 в Windows 11

Кардинально переработанное меню Пуск Windows 11 — самый обсуждаемый графический компонент обновленной операционной системы, получивший Читать далее

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *