Auditar los cambios en el registro de Windows con herramientas del sistema

Auditar los cambios en el registro de Windows con herramientas del sistema.

Cambiar la mayoría de los ajustes de Windows casi siempre implica crear o modificar entradas del registro. Tanto si instalas un programa como si activas o desactivas una función en la configuración, los cambios correspondientes se introducen inmediatamente en las claves del registro. Pero estos cambios no siempre tienen un efecto positivo, ya que los cambios o eliminaciones de programas del usuario o de terceros pueden provocar un mal funcionamiento, incluso una disfunción completa del sistema.

Por lo tanto, estaría bien que el administrador pudiera hacer un seguimiento de lo que se hace en el registro, porque así se puede saber quién o qué ha cambiado el registro. Utilizar utilidades especiales para este fin como Monitor de procesos? Sin embargo, es posible que Windows tenga sus propias herramientas de supervisión, y que sean tan eficaces como las utilidades especializadas de terceros. Windows tiene servicios especiales para este fin Política de auditoría de acceso a objetos и Auditoría de seguridad. El primero se encarga de auditar los cambios en el registro, el segundo se encarga de controlar claves específicas.

Veamos cómo utilizar estas herramientas.

Abrir un comando con secpol.msc snap-in de gestión de la política de seguridad local y bajar por la cadena Políticas locales -> Políticas de auditoría -> Auditoría de acceso a objetos.

Haz doble clic en él, y en la ventana que se abre, marca las casillas junto a «Éxito». и «Fallo»..

Guarda los ajustes.

Ahora tienes que decidir qué clave del registro vas a controlar.

Puede Interesarte:  Cómo ocultar la barra de navegación del diálogo "Abrir" y "Guardar como" en Windows 10

Ábrelo con un comando regedit editor del registro, busca la subsección que quieras, haz clic en ella PCM y selecciona en el menú la opción «Permisos»..

Para el ejemplo hemos elegido una subsección SOFTWAREAquí es donde se registran la mayoría de las aplicaciones instaladas.

En la ventana que se abre, haz clic en «Extras»..

Y en la nueva ventana de configuración, pasa a la pestaña «Auditoría»., pulsa el botón «Añadir»..

En la ventana del elemento de auditoría, haz clic en el enlace «Selecciona el tema». e introduce en el campo de añadir nombre «Todo».. Pulsa «Comprueba los nombres»., luego confirma los ajustes pulsando «OK».

Y de nuevo. «OK».

A continuación, en la ventana del elemento de auditoría, escribe «Todos». (sobre el éxito y el fracaso), permisos generales – acceso total y guardar consecutivamente todos los ajustes.

A partir de ahora, se registrarán todas las acciones introducidas en el registro por los programas o los usuarios, y podrás verlas utilizando los siguientes identificadores como parámetros de ordenación:

4656indica un intento de acceso de un usuario a una clave del registro.
4657Este código indica un cambio en un parámetro del registro.
4660se hará una entrada con este código de evento cuando se elimine el parámetro.
4663código de evento que define la acción realizada: crear un nuevo parámetro, ver, modificar o eliminar uno existente.

Veamos un ejemplo concreto.

Abre el registro de eventos de Windows, ve a «Seguridad»., en la columna de la derecha, haz clic en «Filtrar el registro actual»..

Puede Interesarte:  Cómo crear la ilusión de un ordenador con Windows que no funciona para una persona normal

Introduce el código del evento que te interesa en el campo del filtro.

Ordena los registros y ve quién, cómo y cuándo ha cambiado la configuración del registro.

Así de fácil es hacer un seguimiento de los cambios realizados en el registro por las aplicaciones o los usuarios.

No debes abusar de la auditoría, sin embargo, si hay muchos eventos ocurriendo en el sistema, el registro crecerá rápidamente de tal manera que empezará a congelarse cuando lo abras.

Si vas a utilizar la auditoría de forma regular, asegúrate de que el registro está lleno y límpialo periódicamente.

Deja un comentario

UnComoHacer
Nosbi
Tarabu
Tecnomaniacos
UnMeroTecnologico
VidaParalela
Nekuromansa
Superfantasy