Não sei se a edição caseira tem auditpol.exe , mas, se isso acontecer, esse comando permitirá a auditoria de sucesso e falha para todas as atividades relacionadas a logon:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
Se você realmente quer bater o Registro, pode tirar proveito do documento excelente que encontrou. (O da Microsoft está desatualizado - é para o Windows NT, que não possui subcategorias de auditoria.) Você primeiro precisará de acesso em nível de sistema ao Registro. Parece que você já fez isso, mas para todos os outros, isso pode ser feito com PsExec :
psexec -s -i regedit
(Isso cria uma instância do Editor do Registro em execução como SISTEMA.) Como você fez, abra o valor padrão de HKLM\SECURITY\Policy\PolAdtEv . A segunda página do documento fornece os locais que controlam cada subcategoria. Por exemplo, o Logon inicia no 22º byte ou, em hexadecimal (usado pela barra lateral do Editor do Registro), 16. Nesta captura de tela, destaquei a parte que controla o Logon:
Estes são todos os valores de 16 bits (dois bytes). 00 00 significa que não há auditoria, 01 00 significa sucesso na auditoria, 02 00 significa auditoria de falha e 03 00 significa toda a auditoria.
Portanto, se você quisesse auditar os sucessos de Logon e Logoff, substituiria os dados iniciados no local 0x16 por 01 00 01 00 . Na captura de tela acima, liguei todas as auditorias para elas. Se você quiser a categoria Logon / Logoff inteira, precisará de nove 01 00 s porque existem nove subcategorias.
Você precisará reinicializar para que as alterações entrem em vigor.