Изменение большинства настроек Windows практически всегда подразумевает создание или изменение записей в системном реестре. Устанавливаете ли вы программу, включаете или отключайте в параметрах ту или иную функцию, соответствующие изменения тут же заносятся в ключи реестра. Но подобные изменения не всегда имеют положительный результат, замена или удаление параметров пользователем или сторонней программой может привести к неполадкам вплоть до полной неработоспособности системы.
Поэтому было бы неплохо, если бы администратор мог отслеживать производимые в реестре действия, ведь так можно узнать, кто или что изменило реестр. Использовать для этих целей специальные утилиты вроде Process Monitor? Можно, впрочем, Windows располагает и собственными средствами мониторинга, причем столь же эффективными, как и специализированные сторонние утилиты. Этим полезным делом в Windows занимаются особые службы Object Access Audit Policy и Audit Security . Первая отвечает за аудит изменений в реестре, в задачи второй входит наблюдение за конкретными ключами.
Реестр Windows: как он устроен и как с ним работать
Давайте же посмотрим, как задействовать эти инструменты.
Откройте командой с secpol.msc оснастку управления локальными политиками безопасности и перейдите по цепочке Локальные политики -> Политики аудита -> Аудит доступа к объектам.
Кликните по нему два раза, в открывшемся окошке установите галочки в пунктах «Успех» и «Отказ».
Теперь нужно определиться с ключом реестра, который собираетесь отслеживать.
Откройте командой regedit редактор реестра, отыщите нужный вам подраздел, кликните по нему ПКМ и выберите в меню опцию «Разрешения».
Для примера мы выбрали подраздел SOFTWARE , именно в него заносят записи большинство устанавливаемых приложений.
В открывшемся окошке жмем «Дополнительно».
И переключаемся уже в новом окне настроек на вкладку «Аудит», нажимаем кнопку «Добавить».
В окне элемента аудита щелкаем по ссылке «Выберите субъект» и вводим в поле добавления имен «Все». Жмем «Проверить имена», затем подтверждаем настройки нажатием «OK».
И еще раз «OK».
5 Интересных настроек реестра Windows 10 — могут пригодиться!
Далее в окне элемента аудита тип выставляем «Все» (на успех и отказ) , общие разрешения — полный доступ и последовательно сохраняем все настройки.
Отныне любые действия, вносимые в реестр программами или пользователями, станут записываться в журнал событий, а вы сможете их просматривать, используя в качестве параметров сортировки следующие идентификаторы:
• 4656 — код указывает на попытку пользователя получить доступ к ключу реестра.
• 4657 — этот код указывает на изменение какого-либо параметра в реестре.
• 4660 — запись с этим кодом события будет сделана при удалении параметра.
• 4663 — код события, определяющий совершенное действие — создание нового параметра, просмотр, изменение либо удаление уже существующего.
Рассмотрим всё на конкретном примере.
Открываем журнал событий Windows, заходим в раздел «Безопасность», в правой колонке жмем «Фильтр текущего журнала».
Вводим код интересующего нас события в поле фильтра.
Сортируем записи и смотрим, кто, как и когда изменил параметры реестра.
Вот так просто отслеживать вносимые в реестр приложениями или пользователями изменения.
Злоупотреблять аудитом, однако, не стоит, событий в системе происходит очень много, журнал быстро разрастется, так что станет подвисать при открытии.
Если вы собираетесь пользоваться аудитом на постоянной основе, то следите за заполнением журнала и периодически очищайте его.
Источник: www.white-windows.ru
Как отследить изменения в реестре Windows
Даже самые незначительные изменения настроек в Windows, не говоря уже об установке или удалении программ сопровождаются соответствующим изменениями в системном реестре. Обычно пользователям нет до них никакого дела, но иногда может возникнуть необходимость их отследить, скажем, для сравнения или ручной отмены какого-нибудь изменения, внесенного скриптом или приложением.
↑ Как отследить изменения в реестре Windows
Если предполагаемые изменения невелики, отследить их можно средствами самой операционной системы. Откройте редактор реестра, выделите в нем ветвь, в которую предположительно будут внесены изменения и экспортируйте ее в REG-файл с именем 1.
Внесите необходимые изменения и повторно экспортируйте ветку в REG-файл, но уже с именем 2. Допустим, вы сохранили оба файла в корень диска D. Сравним их. Откройте командную строку и выполните в ней две такие команды:
fc D:/1.reg D:/2.reg > D:/compare.log
Первая устанавливает кириллическую кодировку, вторая сохраняет результат сравнения в лог. Способ рабочий, но неудобный, так как содержимое файлов реестра сравнивается и выводится посимвольно в столбик, что создает трудности при чтении такого лога. По этой причине подходит способ для отслеживания очень незначительных изменений, двух-трех параметров, не более. В остальных случаях лучше воспользоваться специальными утилитами.
↑ Regshot
Наиболее известной программой для отслеживания изменений в реестре является Regshot. Запускаем утилиту, жмем кнопку «1й снимок», производим настройки, установку ПО и т.д., после чего жмем кнопку «2й снимок», а затем «Сравнить». 
Программа показывает какие разделы и параметры были созданы и удалены, какие изменены и общее количество изменений. К сожалению, Regshot не позволяет сканировать определенные разделы и ключи, из-за чего в файл отчета записываются изменения, сделанные самой Windows.
↑ Registry Live Watch
Несколько иной подход к отслеживанию изменений в реестре предлагает другая бесплатная утилита Registry Live Watch. В отличие от Regshot, она не сравнивает два снимка реестра, а отслеживает изменения в его разделах в режиме реального времени, выводя данные в специальном текстовом поле своего окна. Кроме того, Registry Live Watch позволяет отслеживать изменения, произведенные конкретным исполняемым файлом. Но и у этой программы есть свой недостаток. Она не может мониторить весь реестр и даже его разделы, а только отдельные ключи.
↑ CRegistry Comparison
Нечто похожее на Regshot представляет собой бесплатная программка CRegistry Comparison. После запуска она предлагает выбрать каталог для сохранения исходного снимка, после чего тут же создает и сохраняет его. Снимок есть, теперь можно настраивать Windows, устанавливать программы и так далее. После этого запускаем CRegistry Comparison, нажатием кнопки «Browse .cre file» указываем путь к ранее созданному снимку и жмем «Start Compare». Утилита проанализирует снимки и выведет зарегистрированные изменения в своем окне.
Скачать утилиты можно по ссылкам:
Regshot: sourceforge.net/projects/regshot
Registry Live Watch: leelusoft.altervista.org/registry-live-watch.html
Источник: remontcompa.ru
5 инструментов для мониторинга изменений реестра в Windows
Когда вы устанавливаете определенное программное обеспечение, оно копирует несколько файлов в ваш реестр, и это может иногда вызывать некоторые проблемы. Решение этой проблемы состоит в том, чтобы отслеживать изменения в реестре, находить ошибки и возвращать их в нормальное состояние. Чтобы помочь вам найти лучшее решение для мониторинга реестра, мы представляем вам список лучших программ и инструментов для мониторинга реестра.
Следите за изменениями реестра
Regshot
Regshot — очень полезный инструмент для мониторинга изменений в вашем реестре, помимо отображения текущего состояния реестра Windows, он позволяет сделать снимок экрана и сохранить его для последующего сравнения. Regshot — это инструмент с открытым исходным кодом.
Эта бесплатная утилита для мониторинга работала как с 32-разрядной, так и с 64-разрядной версиями предыдущей операционной системы Windows, и она будет работать на обеих версиях Windows 10 без каких-либо проблем. Помимо реестра Windows, Regshot также позволяет делать снимки каталогов Windows. Вы можете бесплатно загрузить этот инструмент для мониторинга реестра с открытым исходным кодом из SourceForge.
WhatChanged
WhatChanged — еще одна известная бесплатная утилита для отслеживания изменений в реестре Windows. WhatChanged использует так называемый «метод грубой силы», и с его помощью вы сможете сканировать реестр, чтобы найти измененные файлы и последние записи реестра, что позволяет легко сравнивать все изменения настроек вашей системы.
WhatChanged — отличный инструмент для проверки того, какие программы вы недавно установили, и, возможно, для удаления ненужных. WhatChanged доступен для бесплатной загрузки с Major Geeks.
RegFromApp
RegFromApp — это инструмент мониторинга реестра, который плавно отслеживает все изменения в реестре, сделанные Windows или определенной программой, которую вы выбрали. Он также создает файл регистрации RegEdit (.reg), в котором хранятся все изменения и модификации реестра, сделанные программой или приложением, которое вы установили.
Этот файл .reg можно использовать для импорта всех изменений реестра с помощью RegEditApp, если это необходимо. Вы можете скачать RegFromApp бесплатно с сайта его разработчика, nirsoft.net.
Монитор процесса
Process Monitor — еще одна очень популярная бесплатная утилита для мониторинга реестра, предлагающая некоторые дополнительные параметры. Он работает в режиме реального времени и показывает все системные файлы, изменения реестра и процессы / потоки вашей системы. Этот крошечный инструмент также может исправить ваш реестр, если есть какие-то ошибки, а также удалить вредоносные программы и другие виды вредоносного программного обеспечения. Вы можете скачать этот небольшой, но мощный инструмент реестра бесплатно от TechNet.
Рег и ФК
А теперь кое-что для тех, кто не любит использовать стороннее программное обеспечение для выполнения системных задач или любых других задач в Windows. Reg и FC — это встроенная командная строка Windows из реестра Windows, которая позволяет вам отслеживать и сравнивать состояния вашего реестра. Прежде чем сравнивать изменения в реестре, экспортируйте все важные ключи реестра, которые вы хотите отслеживать (если ваша система работает хорошо), в текстовый файл и экспортируйте эти ключи снова после нескольких изменений или новых установок. Теперь сравните оба файла с fc.exe:
- Перейти к поиску и введите fc.exe
- Откройте команду fc и введите следующую командную строку:
- fc 1st.reg 2nd.reg> result.txt
Эта команда сравнит оба файла и сохранит их в том же каталоге, что и файл .text.
Теперь вы знаете, какие инструменты вы можете установить на свой компьютер с Windows 10, чтобы следить за изменениями в реестре, которые различные приложения и программы работают в ОС.
Знать, что изменилось — это одно, а знать, как отменить изменения — совсем другое. Итак, если вы хотите просто избавиться от всех изменений, вы можете использовать точку восстановления — при условии, что вы уже создали ее. Для получения дополнительной информации о том, как создать точку восстановления и использовать ее для фактического восстановления реестра, вы можете ознакомиться с этими пошаговыми руководствами:
- Как создать точку восстановления системы в Windows 10
- Как создать точку восстановления с рабочего стола Windows 10
- Как отменить изменения реестра в Windows 10
Кроме того, если вы хотите сбросить настройки реестра, вы также можете установить один из этих очистителей реестра и запустить его на своем компьютере.
Я надеюсь, что вы найдете хотя бы один из этих инструментов полезным и поможет вам легко отслеживать изменения в реестре. Если у вас есть какие-либо комментарии, предложения или, возможно, вы знаете какой-либо другой мощный инструмент для мониторинга изменений в реестре, свяжитесь с нами в комментариях ниже, мы будем рады услышать ваше мнение.
Примечание редактора: этот пост был первоначально опубликован в мае 2015 года и с тех пор обновлен для свежести и точности.
Источник: ru.node-tricks.com