Изменить политику аудита через Реестр

Я не уверен, что домашняя версия имеет auditpol.exe, но если это произойдет, эта команда включит аудит успеха и ошибок для всех действий, связанных с входом в систему:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

Если вы действительно хотите взломать Реестр, вы можете воспользоваться этим прекрасным документом, который вы нашли. (Microsoft устарела - для Windows NT, в которой не было подкатегорий аудита.) Сначала вам потребуется доступ к реестру на системном уровне. Похоже, вы уже достигли этого, но для всех остальных это можно сделать с помощью PsExec:

psexec -s -i regedit

(Это создает экземпляр редактора реестра, работающего как SYSTEM.) Как только вы это сделали, откройте значение по умолчанию: HKLM\SECURITY\Policy\PolAdtEv, На второй странице документа указаны местоположения, которые контролируют каждую подкатегорию. Например, вход в систему начинается с 22-го байта или в шестнадцатеричном формате (используется боковой панелью редактора реестра) 16. На этом снимке экрана я выделил часть, которая контролирует вход в систему:

Это все 16-битные (двухбайтовые) значения. 00 00 означает отсутствие аудита, 01 00 означает успех аудита, 02 00 означает проверку на отказ, и 03 00 означает все проверки.

Итак, если вы хотите проверить успешность входа в систему и выхода из нее, вы должны заменить данные, запущенные в расположении 0x16, на 01 00 01 00, На скриншоте выше я включил весь аудит для них. Если вам нужна вся категория Logon/Logoff, вам понадобится девять 01 00 потому что есть девять подкатегорий.

Вам нужно будет перезагрузиться, чтобы изменения вступили в силу.