Вот программные решения, упомянутые в этом руководстве:
Когда вы устанавливаете определенное программное обеспечение, оно копирует несколько файлов в ваш реестр , и это может иногда вызывать некоторые проблемы. Решение этой проблемы состоит в том, чтобы отслеживать изменения в реестре, находить ошибку и возвращать ее в нормальное состояние.
Чтобы помочь вам найти лучшее решение для мониторинга реестра, мы представляем вам список лучших программ и инструментов для мониторинга реестра.
Каковы лучшие инструменты для отслеживания изменений реестра в Windows 10?
Regshot — очень полезный инструмент для мониторинга изменений в вашем реестре. Помимо отображения текущего состояния реестра Windows, он позволяет сделать снимок экрана и сохранить его для последующего сравнения.
Regshot — это инструмент с открытым исходным кодом.
Проблемы с разрешением реестра в Windows 10? Решите их быстро, следуя этому полезному руководству.
Эта бесплатная утилита мониторинга работает как с 32-разрядными, так и с 64-разрядными версиями предыдущей операционной системы Windows, и будет работать на всех версиях Windows 10 без каких-либо проблем.
Помимо реестра Windows, Regshot также позволяет делать снимки каталогов Windows. Вы можете бесплатно загрузить этот инструмент мониторинга реестра с открытым исходным кодом из SourceForge .
WhatChanged — еще одна известная бесплатная утилита для отслеживания изменений в реестре Windows.
WhatChanged использует так называемый «метод грубой силы», и с его помощью вы сможете сканировать свой реестр, чтобы найти измененные файлы и последние записи реестра, что позволяет легко сравнивать все изменения настроек вашей системы.
Если вы хотите очистить свой реестр, ознакомьтесь с этим пошаговым руководством, которое поможет вам сделать это с легкостью.
WhatChanged — отличный инструмент для проверки того, какие программы вы недавно установили, и, возможно, для удаления ненужных.
WhatChanged доступен для бесплатной загрузки с Major Geeks .
RegFromApp — это инструмент мониторинга реестра, который плавно отслеживает все изменения в реестре, сделанные Windows или определенной программой, которую вы выбрали.
Он также создает файл регистрации RegEdit (.reg), в котором хранятся все изменения и модификации реестра, сделанные программой или приложением, которое вы установили.
Process Monitor — еще одна очень популярная бесплатная утилита для мониторинга реестра, предлагающая некоторые дополнительные параметры. Он работает в режиме реального времени и показывает все системные файлы, изменения реестра и процессы / потоки вашей системы.
Этот крошечный инструмент также может исправить ваш реестр, если есть какие-то ошибки, а также удалить вредоносные программы и другие виды вредоносного программного обеспечения.
Рег и ФК
Reg и FC — это встроенная командная строка Windows из реестра Windows, которая позволяет вам отслеживать и сравнивать состояния вашего реестра.
Прежде чем сравнивать изменения в реестре, экспортируйте все важные ключи реестра, которые вы хотите отслеживать (когда ваша система работает хорошо), в текстовый файл и экспортируйте эти ключи снова после нескольких изменений или новых установок.
Знаете ли вы, что Windows 10 по умолчанию не хранит резервные копии реестра? Найти больше информации в этой удивительной статье.
Теперь сравните оба файла с fc.exe:
Эта команда сравнит оба файла и сохранит их в том же каталоге, что и файл .text.
Теперь вы знаете, какие инструменты вы можете установить на свой компьютер с Windows 10, чтобы следить за изменениями в реестре, которые различные приложения и программы работают в ОС.
Знать, что изменилось, это одно, а знать, как отменить изменения, — совсем другое.
Итак, если вы хотите просто избавиться от всех изменений, вы можете использовать точку восстановления — при условии, что вы уже создали ее.
Для получения дополнительной информации о том, как создать точку восстановления и использовать ее для фактического восстановления реестра, вы можете ознакомиться с этими пошаговыми руководствами:
Кроме того, если вы хотите сбросить настройки реестра, вы также можете установить один из этих очистителей реестра и запустить его на своем компьютере.
Мы надеемся, что вы найдете хотя бы один из этих инструментов полезным и поможет вам легко отслеживать изменения в реестре.
СВЯЗАННЫЕ ИСТОРИИ, ЧТОБЫ ПРОВЕРИТЬ:
Примечание редактора: этот пост был первоначально опубликован в мае 2015 года и с тех пор обновлен для свежести и точности.
Отслеживание изменений в реестре — один из важнейших моментов аудита Windows. Так, мы можем проследить когда и что изменило реестр, став либо причиной неполадок или просто вызвало замену параметров. Какая же программа или кто из пользователей внесли изменения в ключи и параметры реестра? Мало кто из пользователей знает, но эта функция в Windows почти готова к работе и заряжена; нам остаётся только спустить крючок. Самый первый способ, который напрашивается, это использование утилиты Process Monitor. Работу с ней мы обязательно разберём отдельно, а пока поговорим о «встроенных» возможностях Windows. И это как раз тот редкий случай, когда уже имеющийся вариант лучше остальных, со стороны.
В Windows аудитом изменений реестра «занимается» специальная служба под наименованием Object Access Audit Policy, а за конкретным ключом будет присматривать . После работы с их настройками соответствующая информация будет отображаться в Журнале событий Windows.
Вся процедура подразумевает три пункта:
- активация политики Аудита
- активация SACL
- просмотр Журнала событий и поиск по фильтрам
Обычно на эту статью натыкаются, когда что-то где-то УЖЕ произошло. Подразумеваю, что пользователь исправил ситуацию вплоть до переустановки неработоспособной Windows и теперь просто пытается не допустить повторения ошибки. Это значит, что вы УЖЕ знаете, какой примерно из разделов реестра нужно мониторить, ибо контролировать весь реестр не получится: журнал событий Windows разрастётся до нечитаемых размеров. Так что:
- этот режим, вероятно, носит временный характер
- для очистки Журнала воспользуйтесь информацией из статьи по ссылке выше.
А мы приступаем.
Настраиваем групповую политику
Настраиваем события в самом реестре
Что изменило реестр
Всё готово. Чтобы проверить изменения в реестре, необходимо отправиться в Журнал событий:
- 4656 — это самое первое из событий, регистрирующееся в тот момент, когда какой-то пользователь пытается получить доступ к ключу реестра. Событие расскажет о категории доступа, запрошенного пользователем.
- 4657 — параметр реестра изменился
- 4660 — параметр удалён
- 4663 — это событие покажет, какой вид операции над файлом пользователь совершил: создал новый, изменил значение, удалил или даже просто посмотрел
Если вам нужно несколько событий, то вводим их через запятую, без пробела. Проверим все:
Подробности события — в одноимённой вкладке для каждого из них:
Теперь вы будете знать всё: какая программа и какой пользователь пытается или успешно что-то с реестром делает.
Изменения в реестре без перезагрузки
Редактор реестра — утилита, позволяющая применять изменения в реестре, который, в свою очередь, является низкоуровневой иерархической конфигурацией данных. Здесь хранится всё: системные настройки, ядро, драйверы, программы и другое. Это означает, что очень немногое в программе можно изменить при помощи графического интерфейса. Для работы с параметром, службой и программой целиком нужен специальный раздел и параметр/ы реестра, с которыми тоже нужно «поработать». После чего самым частым и финальным шагом является перезагрузка Windows. А можно ли увидеть изменения в реестре без перезагрузки системы?
Сразу хочется напомнить, что сама операционная система, через ядро, драйверы и предустановленные настройки запускаемой программы загружаются в соответствии с условиями, прописанными именно в реестре. Реестр — это та небольшая часть системных файлов и настроек, которые отвечают за то, как Windows будет выглядеть. И именно по этой причине многие изменения в реестре без перезагрузки, будучи уже принятыми, пока просто не будут видны самой Windows. Подробнее про реестр у меня много, и сейчас мы научимся применять изменения в реестре без перезагрузки системы, что упростит работу с настройками Windows. По сути, выключая компьютер, мы заставляем Windows рассыпаться на мелкие кусочки: голова, руки, мысли — всё отдельно. Воедино они соберутся только благодаря реестру и его настройкам, службам и системным файлам. Но для этого компьютер выключать всегда вовсе не обязательно. Хотя всё зависит именно от того, какие в реестре изменения уже проведены или насколько система уже готова к применению вновь вводимых изменений.
Как применить изменения в реестре без перезагрузки?
Вместо перезагрузки вам стоит присмотреться к четырём подходам:
- или палочка-выручалочка
- выход и повторный вход в нужную учётную запись
- перезапуск проводника (процесса explorer.exe)
- перезапуск конкретной программы
Gpupdate /force
Наиболее часто употребляемая сетевыми администраторами команда принудительного обновления настроек локальной групповой политики и Active Directory (он же Активный Каталог) — в том числе — и на удалённом хосте. Общий её вид таков:
Выйдите и зайдите в свою же учётную запись
Такой вариант прокатит в том случае, если изменения качаются именно конкретного пользователя, а не компьютера в целом.
Перезапуск проводника
Процесс explorer.exe является одним из ключевых системных процессов. Это ни что иное как окуляры Windows. Захлопните процесс, и та ничего, кроме системных файлов и утилит не увидит. Одновременно с остановкой процесса останавливается целый пакет других процессов и выполняющихся фоном задач, о которых вы и не подозреваете. Некоторые из параметров реестра сбрасываются до дефолтных, и после перезапуска explorer.exe изменения в реестре сразу дают о себе знать (сохраните все данные и закройте программы). Зажимаем Ctrl + Shift + Esc для вызова Диспетчера задач:
Сейчас у вас пропадёт всё (и Рабочий стол и открытые окна программ). Не покидая Диспетчера, запустим проводник снова и через меню Файл выйдем на запуск через Выполнить (оттуда вводим имя процесса вручную):
Перезапуск программы
Самый, казалось бы, простой, но не всегда действенный вариант. Но в случае с конкретной программой это может вполне прокатить. Так что, если через графический интерфейс программы изменения недоступны, и вы обнаружили возможность перенастроить программу из реестра, просто перезапустите её. Отличительной особенностью таких изменений является тот факт, что в реестре вы работаете именно в ключе, относящемся только к этой программе (раздел реестра Software):
Последнее в абзаце. Для чистоты эксперимента программу рекомендую перезагрузить также, как и в случае с explorer.exe — через Диспетчер устройств.
Ну, если никакой из вариантов не помог, значит, изменения проводятся уже «поближе» к ядру windows или системных процессам. Будьте аккуратнее и перезагружайте компьютер.
В Windows(Windows) 11/10 нет встроенного инструмента мониторинга реестра . (Registry)Но что вы можете сделать, так это использовать программу командной строки Windows File Compare или fc.exe для сравнения двух файлов экспорта реестра и, таким образом, отслеживать изменения реестра Windows(Windows Registry) . Вы также можете использовать некоторые бесплатные программы для отслеживания изменений в реестре(Registry) в вашей системе Windows 11/10/8/7 .
Как отслеживать и отслеживать изменения реестра(Registry) в Windows
Вы можете отслеживать изменения в реестре с помощью инструмента командной строки File Compare fc.exe или бесплатного программного обеспечения, такого как WhatChanged , RegShot , Sysinternals Process Monitor и т. д . Давайте рассмотрим доступные варианты.
1] Сравнение файлов fc. exe
Чтобы использовать эту программу File Compare или fc.exe, сначала экспортируйте файл .reg и назовите его, например, rega .
После внесения изменений экспортируйте измененный файл .reg и назовите его, скажем, (.reg)regb .
Теперь откройте командную строку и введите:
Поскольку файлы .reg используют Unicode, ключ /u указывает fc.exe использовать Unicode .
Теперь вы можете проверить вывод regcompare в Блокноте.
2] Что изменилось
Просто загрузите это портативное приложение WhatChanged и запустите его до и после изменения.
3] Монитор процессов Sysinternals
Sysinternals Process Monitor — отличная бесплатная программа для отслеживания изменений реестра в режиме реального времени. Process Monitor — это расширенный инструмент мониторинга для Windows , который показывает в реальном времени файловую систему, реестр(Registry) и активность процессов/потоков. Он сочетает в себе функции двух устаревших утилит Sysinternals , Filemon и Regmon , и добавляет обширный список улучшений, включая расширенную и неразрушающую фильтрацию, исчерпывающие свойства событий, такие как идентификаторы сеансов(Session IDs) и имена пользователей, достоверную информацию о процессах, полные стеки потоков со встроенными символами . поддержка каждой операции, одновременная запись в файл и многое другое.
4] Регшот
RegShot — еще одна небольшая утилита для сравнения реестра, которая позволяет быстро сделать снимок вашего реестра, а затем сравнить его со вторым; выполняется после внесения изменений в систему или установки нового программного продукта. Отчет об изменениях может быть создан в текстовом или HTML -формате и содержит список всех изменений, которые произошли между снимком 1 и снимком 2. Получите это здесь(here) .
5] Наблюдатель за реестром MJ
MJ Registry Watcher — это простой перехватчик реестра, файлов и каталогов, который защищает важные файлы запуска, ключи реестра и значения, которые обычно подвергаются атакам вредоносных программ. Он использует очень мало ресурсов и по умолчанию настроен на опрос каждые 30 секунд, хотя вы можете настроить его на любое значение от 0 до 9999. Загрузите его здесь(it here) .
Существуют и другие инструменты, которые могут помочь вам отслеживать изменения в реестре Windows; они есть:(There are other tools that can help you monitor the changes in the Windows Registry; they are:)
- Реестр в прямом эфире(Registry Live Watch)
- LeeLu Monitors Системный монитор AIO
- FRSSystemWatch
- RegFromApp
- Регистратор Менеджер реестра Lite(Registrar Registry Manager Lite) .
Это также может вас заинтересовать:(These may also interest you:)
- Демистификация реестра Windows.(De-Mystifying Windows Registry.)
- Как создавать резервные копии, восстанавливать и поддерживать реестр Windows.(How To Back Up, Restore, Maintain Windows Registry.)
- Как ограничить доступ к редактору реестра и т. д.
- Как открыть несколько экземпляров реестра.
Реестр Windows
Реестр – это централизованная иерархическая база данных в Microsoft Windows, которая идля хранения информации, необходимой для настройки системы для различных пользователей, приложений и устройств. Реестр Windows предоставляет собой архив для сбора и хранения следующих данных параметров конфигурации компонентов Windows, установленного оборудования/программного обеспечения/ приложений и другого. Система реестра была впервые представлена в Windows 95 и с тех пор и с тех пор используется во всех ОС Windows.
Все конфигурационные параметры реестра находятся в разделах реестра:
- HKEY_CLASSES_ROOT – Конфигурационные параметры для приложений и файлов;
- HKEY_LOCAL_MACHINE – Конфигурационные параметры системного уровня;
- HKEY_LOCAL_CONFIG – Информационные сведения об используемом профиле оборудования.
Не станем подробно изучать структуру, а лучше отметим, что всякий раз, когда пользователь устанавливает программное приложение, оборудование или драйвер устройства в операционной системе на базе Windows, начальные параметры конфигурации этих программ и драйверов сохраняются в виде ключей и их значений в реестре Windows. Во время использования программного или аппаратного обеспечения изменения, внесенные в конфигурацию, также находят свое отражение в реестре.
С точки зрения форензики, реестр Windows – это сундук с сокровищами. Он не только хранит записи о настройках приложений и ОС, но также отслеживает и пользовательские данные и хранит их в хорошо структурированном виде. Для анализа реестра мы можем использовать MUICache View, Process Monitor, Registry Editor, Regshot, USBDeview и RegRipper.
Для наглядности, для начала, разберем инструмент Regshot.
Regshot
Утилита предназначена для фиксации изменений в реестре ОС Windows на основе создания снимков реестра и их дальнейшего сравнения.
- Выполнение снимков реестра Windows
- Сравнение 2-х снимков;
- Нахождение между ними изменений
Cкачать можно по ссылке https://sourceforge.net/projects/regshot
Запустим Regshot в нашей системе и сделаем первый снимок, выбрав при этом html отчет
После того как первый снимок будет сделан, зайдем в настройки браузера и зададим прокси сервер с ip адрессом 192.168.44.1 и портом 8080 и сохраним изменения
После этого сделаем второй снимок реестра, после чего нажмём “Compare” для вывода на экран html файла с данными по изменению реестра. И теперь мы наглядно видим в каких ветках реестра были добавлены наши значения
Проверим и найдем указанное значение в реестре:
Пожалуйста, не спамьте и никого не оскорбляйте.
Это поле для комментариев, а не спамбокс.
Рекламные ссылки не индексируются!
Если вы пытаетесь внести изменения в ключ реестра и заметите, что они не сохраняются после перезагрузки, убедитесь, что вы не единственный, кто занимается этой проблемой.
Regedit не сохраняет значения Кто-нибудь еще сталкивался с проблемами с regedit не сохранением значений? Я изменяю некоторые значения, чтобы изменить размер программы при запуске, но каждый раз, когда я запускаю программу, значения возвращаются.
Эта проблема вызвана состоянием владельца учетной записи и проблемами с разрешениями.
Чтобы получить разрешение на изменение ключей реестра, следуйте нашему руководству, описанному ниже.
Редактор реестра Windows 10 не сохраняет мои изменения
- 11 лучших очистителей реестра для Windows 10 для использования в 2019 году
- Требуется перезагрузка после изменения реестра? Вот как этого избежать
- Лучшие очистители реестра Windows 10 Advanced System Care
Здравствуйте, друзья сайта . Сегодня мы с вами изучим серьёзную тему – узнаем, что такое reg-файлы, научимся их создавать и общаться посредством них с системой. Ещё вкратце расскажу, что такое BAT-файлы и почему они иногда примечательнее своих REG-собратов. И те и другие пригодятся для настройки параметров реестра, для чего в них вписываются специальные команды. Для тех, кто не знает, реестр – это такой ветвистый каталог внутри машины, отвечающий за весь системный функционал. Таким образом, сегодня вы узнаете, как создать файл реестра и изменить его по необходимости. Предупрежу сразу, что данные операции – дело не слишком сложное, но довольно опасное. Один неверно поставленный символ может привести к сбою в работе машины. Поэтому настоятельно советую не полениться и предварительно сохранить резервную копию ОС, чтобы в случае неудачного эксперимента без проблем вернуть машину к рабочему состоянию. С этого, пожалуй, и начну.
Резервная копия системы
Сделать резервную копию Windows — это значит создать рег-файл всего реестра. Сделать это совсем несложно, если у вас есть хотя бы минимальные навыки работы с компьютером:
Открывшийся редактор также позволяет пользователю управлять функционалом ОС и настраивать его по своему усмотрению. Только «лазить» по множественным папкам в поисках нужного параметра не шибко удобно. Задачу облегчают reg-файлы, позволяющие посредством команд сразу вносить изменения в реестр Windows 10, 8, 7 и более ранних редакций, а как их создать – расскажу чуть позже.
Переходим к главному – сохранению резервной копии:
- Мы хотим скопировать данные о всей ОС, поэтому убедитесь, что в редакторе подсвечена директория «Компьютер».
- Раскрываем раздел меню «Файл».
- Выбираем команду «Экспорт».
- Настраиваем путь сохранения. Я советую выбрать вместо локального диска C и папки «Мои документы», предлагаемых по умолчанию, другой локальный диск или съёмный носитель, чтобы иметь свободный доступ к резервной копии, если что-то вдруг пойдёт не так.
Друзья, для восстановления ОС из этого файла просто запустите его двумя левыми щелчками или одним правым с выбором команды «Слияние».
Ещё один способ. Требуется зайти в редактор реестра, раскрыть меню раздела «Файл» и выбрать команду «Импорт».
Внесение изменений в реестр
Обезопасились, теперь давайте рассмотрим, как сделать самостоятельно reg-файл (без участия редактора) для внесения изменений в реестр:
- Запустите простейший, но очень полезный текстовый редактор «Блокнот», являющийся приложением ОС и имеющийся на любой машине (в поисковой строке «Пуска» впишите «Блокнот» и запустите его или сделайте один правый щелчок мыши на рабочем столе и создайте текстовый документ).
- Чтобы создать работающий файл реестра, нужно выполнить два условия – вписать нужные команды и сохранить получившийся документ в формате reg, что справедливо для всех версий windows (XP, 7, 8, 10).
В качестве примера возьмём параметр WaitToKillServiceTimeout, который помогает уменьшить время, отведённое на закрытие запущенных приложений, и тем самым ускорить процесс выключения машины. Стандартный параметр закрытия составляет 12 секунд (значение 12000, если смотреть в редакторе). Давайте изменим его на 10 секунд (изменим значение на 10000). Для этого:
Чтобы изменить содержимое созданного файла, просто сделайте по нему правый щелчок мыши и из списка выберите соответствующую команду.
Файлы реестра для игр
Создавать reg-файл реестра можно не только для работы с системой, но и для сохранения работоспособной и нормально функционирующей копии любимых игр. Делается это аналогично сохранению резервной копии ОС:
- Запустите поиск и дождитесь его результатов.
- Подсветите среди результатов найденную игру.
Если ваша любимая игра «накроется», вы всегда сможете её восстановить или поделиться своим «сокровищем» с товарищами. Кстати, на просторах интернета в недрах тематических форумов можно найти немало игровых рег-файлов, которыми пользователи делятся друг с другом.
BAT-файлы
Друзья, закончу статью краткой информацией о том, как создать bat-файл (батник) с аналогичными функциями, то есть предназначенный для редактирования реестра. Батник – это мини программка, созданная в том же «Блокноте» и с помощью определённых команд запускающая тот или иной процесс. Батники предпочтительнее рег-файлов потому что:
- Они более функциональные.
- Запускаются «тихо» без лишних всплывающих окон.
- Их можно запускать от имени Администратора.
- И использовать для машин в локальной сети.
Приведу краткий перечень команд, позволяющих изменять реестр:
- reg add – добавляет данные.
- reg delete – удаляет информацию.
- reg export – экспортирует указанные ветки на жёсткий диск.
- reg import – импортирует данные из созданного ранее рег-файла в реестр.
- reg load и reg unload, reg save и reg restore- помогают сохранять, удалять и восстанавливать ветки реестра.
Батник создаётся так же, как и рег-файл:
- Запускается «Блокнот».
- Вписываются команды.
- Документ сохраняется в формате bat.
На этом всё. Если кому-то нужна более подробная информация по батникам, то спрашивайте в комментариях, распишу. До новых статей.
Оглавление
- 11 лучших очистителей реестра для Windows 10 для использования в 2019 году
- Требуется перезагрузка после изменения реестра? Вот как этого избежать
- Лучшие очистители реестра Windows 10 Advanced System Care
Что делать, если cortana не может отправлять продиктованные электронные письма или делать заметки
Кортана не может отправлять продиктованные электронные письма или делать заметки? Вы можете решить эту проблему, используя 3 решения, перечисленные в этом руководстве.
Что делать, если sharepoint не сохраняет изменения
Что делать, если безопасный режим не работает на Windows 10? полное руководство, чтобы исправить это
Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.
Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и . Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.
Давайте же посмотрим, как задействовать эти инструменты.
Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».
Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.
Откройте командой редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».
Для примера мы выбрали подраздел , именно в него заносят записи большинство устанавливаемых приложений.
В открывшемся окошке жмем «Дополнительно».
И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».
В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».
И еще раз «OK».
Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ), общие разрешения — полный доступ и последовательно сохраняем все настройки.
Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:
4656 — код указывает на попытку пользователя получить доступ к ключу реестра.
4657 — этот код указывает на изменение какого-либо параметра в реестре.
4660 — запись с этим кодом события будет сделана при удалении параметра.
4663 — код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.
Рассмотрим всё на конкретном примере.
Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».
Вводим код интересующего нас события в поле фильтра.
Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.
Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.
Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.
Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.
