Una forma de averiguar la configuración del Registro y que al mismo tiempo nos sirve para controlar el acceso al mismo es Auditarlo. El problema con esto es la necesidad de ser muy específico con las llaves que queremos auditar a riesgo de perder rendimiento si auditamos todo o gran parte del Registro.
El proceso para auditar una llave: habilitar la directiva de auditoría – podemos hacerlo mediante la directiva de grupo en la red o activarlo de forma local. Desde el panel de control, vista clásica, herramientas administrativas, directiva de seguridad local. No hay directiva de seguridad local si se trata de un DC. Seleccionamos Directiva de auditoría del panel de la izquierda, y en el panel de la derecha doble clic en los objetos de acceso a auditar y seleccionar las casillas correspondientes a errores y aciertos. Después de habilitar las auditorías, abriremos RegEdit para auditar llaves individuales.
- Clic en la llave a auditar
- Menú Edición, permisos, avanzado.
- Pestaña Auditoría, añadir.
- Seleccionamos usuarios, grupos o equipos, ubicaciones y clic en el equipo, dominio u OU del usuario a auditar.
- Introducimos el nombre del usuario o grupo a añadir a la auditoría de la llave y Aceptar.
- Cada casilla de verificación indica los aciertos o errores en las actividades de las acciones de su izquierda
Una vez activada y establecida, la comprobaremos desde el visor de sucesos.
Impedir el acceso al registro
La verdad es que impedir el acceso al registro no parece recomendable ya que éste contiene configuraciones que los usuarios han de ser capaces de leer para que sus Windows funcionen correctamente, además, por ejemplo, de un control total sobre sus perfiles para el sistema y aplicaciones. Así que en todo caso, quizás lo que se desee es evitar que lo EDITEN usando el RegEdit u otras herramientas.
Evitar el uso de RegEdit puede hacerse mediante la directiva correspondiente: Impedir al acceso a Herramientas de edición del Registro
Con ello el usuario recibirá el mensaje de que ha sido deshabilitado por el administrador.
El mayor problema en esto radica en que NO todos los editores se rigen por esta directiva, así que parece que nada podría evitar a un usuario que se descargue de internet un editor, lo instale y lo use. Así que hay que usar las directivas de restricción de software y aunque esto no impedirá que los usuarios puedan usar alguno, al menos podremos restringirlos al mínimo.
Restringir el acceso remoto.
Asegurar el acceso local del Registro es una cosa y asegurar el acceso remoto es otra. Windows proporciona a los administradores y a los operadores de copia, acceso remoto al Registro. Lo que hace que cualquiera de ellos puedan acceder de forma remota desde cualquier equipo del dominio a cualquier equipo que esté unido al dominio, aunque en versiones actuales de Windows esto está más limitado.
Hay pocas veces en las que puede que queramos acceder remotamente al registro de algún equipo, por ejemplo crear un grupo de administradores en cada OU de AD para que puedan editar el registro de equipos si son de dicha OU. Para habilitar a un grupo para que pueda editar el Registro de forma remota añadiremos al grupo en la ACL de la llave: HKLMSYSTEMCurrentControlSetControlSecurePipeServerswinreg. El problema qeu se corre con esto es que aunque añadir al grupo a winreg le permite el acceso remoto, cada ACL de las llaves son las que determinan qué llaves puede cambiar el grupo.