# Мониторинг ключей реестра Windows

Для мониторинга ключей реестра в KUMA можно использовать стандартные механизмы аудита Windows. Для этого необходимо настроить расширенный аудит на доступ к реестру и определить разделы, операции с ключами которых необходимо мониторить. Данные настройки могут быть выполнены локально на сервере, а также заданы с помощью групповой политики. В статье ниже будет рассказано о локальных настройках.

---

### Настройка политики аудита

Запустите cmd.exe из-под учетной записи Администратора и выполните следующую команду:

```
auditpol /set /subcategory:"Реестр" /success:enable /failure:enable
```

Другим вариантом является внесение изменений в локальную политику безопасности. Чтобы выполнить его, откройте редактор Локальной политики безопасности и перейдите в "Параметры безопасности" - "Конфигурация расширенной политики аудита" - "Политики аудита системы" - "Объект локальной групповой политики" - "Доступ к объектам".

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/7M9image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/7M9image.png)

Откройте подкатегорию "Аудит реестра" и выставите необходимые значения

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/v6uimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/v6uimage.png)

---

### Настройка аудита раздела реестра

Откройте оснастку "Редактор реестра" и перейдите к разделу, аудит которого необходимо настроить

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/MYLimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/MYLimage.png)

Нажмите ПКМ на нужном разделе и выберите пункт Разрешения

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/BISimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/BISimage.png)

В открывшемся окне нажмите на кнопку "Дополнительно"

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/ghyimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/ghyimage.png)

В новом окне перейдите на вкладку "Аудит" и добавьте необходимое правило аудита раздела. В данном примере настроен аудит полного доступа всех субъектов к текущему разделу и всем его подразделам.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/crDimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/crDimage.png)

Примените выполненные настройки.

---

### Результат

В результате выполненных настроек в журнале безопасности (security) Windows будут появляться события в зависимости от настроенного аудита.

События, которые могут появляться:

\- 4663(S): An attempt was made to access an object.  
\- 4656(S, F): A handle to an object was requested.  
\- 4658(S): The handle to an object was closed.  
\- 4660(S): An object was deleted.  
\- 4657(S): A registry value was modified.  
\- 5039(-): A registry key was virtualized.  
\- 4670(S): Permissions on an object were changed.

Как это выглядит в KUMA (на примере события 4657):

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/se8image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/se8image.png)

<table border="1" class="align-center" id="bkmrk--10" style="border-collapse: collapse; width: 100%;"><colgroup><col style="width: 50%;"></col><col style="width: 50%;"></col></colgroup><tbody><tr><td class="align-center">[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/Xraimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/Xraimage.png)

</td><td>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/scaled-1680-/dHFimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-11/dHFimage.png)

</td></tr></tbody></table>