Q. Comment auditer les modifications apportées au Registre?

A. Avec regedt32.exe, il est possible d'auditer certaines parties du Registre. La notion d'audit étant  "sensible", vous voudrez peut-être un avertissement aux utilisateurs les informant que les changements sont audités.

1. Lancer l'éditeur de Registre (regedt32.exe)
2. Sélectionnez la clé que vous voulez auditer (e.g. HKEY_LOCAL_MACHINE\Software)
3. Dans le menu Security, choisissez Auditing
4. Cochez la case "Audit Permission on Existing Subkeys" si vous voulez que les sous-clés soient aussi auditées
5. Cliquez sur Add et choisissez les utilisateurs à auditer, cliquez sur Add et OK
6. Un fois qu'il y a des noms dans la boîte Names, vous pouvez choisir les événements à auditer.
7. Cliquez sur OK une fois toutes les informations saisies

Vous devrez vérifiez que "Auditing for File and Object access" est activé (avec User Manager - Polices - Audit).

Pour voir les infomations, utiliser Event Viewer et regarder dans les informations de Security.
 
  

Un commentaire , une précision ? Ecrivez nous.