Аудит реестра

Как я упоминал, сравнение снимков реестра является только одним из методов поиска настроек; другим является мониторинг. Первый метод мониторинга реестра, который я собираюсь вам показать, встроен в Windows ХР: аудит. Но используйте аудит, только если вы не имеете других инструментов для мониторинга, потому что недостатки этого метода при использовании его для поиска настроек перевешивают его достоинства. Первым недостатком является то, что аудит реестра на предмет изменений требует того, чтобы вы заранее знали примерное расположение настройки потому, что аудит всего реестра очень нерационален. Во-вторых, расшифровка результатов аудита довольно обременительна. Она основана на просмотре событий безопасности в Event Viewer, и вывод не является дружественным.
Аудит реестра на предмет изменений состоит из трех шагов: во-первых, вы должны включить Audit Policy (Политику аудита). Вы делаете это, редактируя Local Security Policy (Локальную политику безопасности). После этого, вы производите аудит ветвей реестра, в которых, по вашему мнению, находится настройка. Вы не можете производить аудит всего реестра потому, что зто приведет даже самый быстрый компьютер под управлением Windows ХР к почти полной остановке. В среднем операционная система и приложения осуществляют доступ к реестру тысячи раз за сессию, таким образом, запись деталей каждого такого доступа крайне непрактична. Наконец, после внесения изменений в настройку или выполнения другого действия, которое вы отслеживаете, посмотрите в Event Viewer, какие значения изменились. Следующие разделы описывают каждый шаг.