Утилита REGEDIT.EXE позволяет настроить проведение системного аудита для определенных разделов системного реестра. Стоит обратить внимание, что любой тип аудита желательно сопровождать предупреждениями, сообщающими пользователям, что производится контроль внесенных ими изменений в системный реестр.
1. Откройте редактор системного реестра (REGEDIT.EXE).
2. Выберите раздел для проверки (например, HKEY_LOCAL_MACHINE\Software).
3. В меню Правка (Edit) выберите команду Разрешения (Permissions).
4. Кликните на кнопке Дополнительно (Advanced).
5. Перескочите на вкладку Аудит (Auditing) и кликните на кнопке Добавить (Add).
6. Добавьте пользователей и свойства, которые необходимо проанализировать.
7. Кликните на кнопке OK.
Кроме того, необходимо удостовериться, что протоколирование аудита разрешено системной политикой.
1. Выберите команду Пуск > Программы > Администрирование > Локальная политика безопасности (Start > Programs > Administrative Tools > Local Security Policy).
2. Разверните ветку Локальные политики (Local Policies)
и выберите команду Политика аудита (Audit Policy).
3. Дважды кликните на разделе Аудит доступа к объектам (Audit object access).
4. Выберите параметры Успех (Success) и Отказ (Failure), после чего кликните на кнопке OK.
5. Закройте оснастку.
Для просмотра получаемых данных воспользуйтесь оснасткой Просмотр событий (Event Viewer) и журналом Безопасность (Security).
