Утилита REGEDIT.EXE позволяет настроить проведение системного аудита для определенных разделов системного реестра. Стоит обратить внимание, что любой тип аудита желательно сопровождать предупреждениями, сообщающими пользователям, что производится контроль внесенных ими изменений в системный реестр.

  1.  Откройте редактор системного реестра (REGEDIT.EXE).

  2.  Выберите раздел для проверки (например, HKEY_LOCAL_MACHINE\Software).

  3.  В меню Правка (Edit) выберите команду Разрешения (Permissions).

  4.  Кликните на кнопке Дополнительно (Advanced).

  5.  Перескочите на вкладку Аудит (Auditing) и кликните на кнопке Добавить (Add).

  6.  Добавьте пользователей и свойства, которые необходимо проанализировать.

  7.  Кликните на кнопке OK.

Кроме того, необходимо удостовериться, что протоколирование аудита разрешено системной политикой.

  1.  Выберите команду Пуск > Программы > Администрирование > Локальная политика безопасности (Start > Programs > Administrative Tools > Local Security Policy).

  2.  Разверните ветку Локальные политики (Local Policies)
и выберите команду Политика аудита (Audit Policy).

  3.  Дважды кликните на разделе Аудит доступа к объектам (Audit object access).

  4.  Выберите параметры Успех (Success) и Отказ (Failure), после чего кликните на кнопке OK.

  5.  Закройте оснастку.

Для просмотра получаемых данных воспользуйтесь оснасткой Просмотр событий (Event Viewer) и журналом Безопасность (Security).