Você pode acionar essas alterações auditando a chave de registro com a qual está preocupado. Mas é importante distinguir entre as chaves de registro que estão sendo criadas / excluídas e os valores de registro que estão sendo alterados, porque existem diferentes eventos registrados para eles.
Primeiro, execute auditpol.exe /get /category:"Object Access" e observe se "Registro" como Success & Falha ativada (você está mais preocupado com o sucesso, é claro). Se não estiver, será necessário ativá-lo no controlador de domínio por meio do GPO ou da política de segurança local do servidor / estação de trabalho.
Quando a auditoria do registro estiver ativada, você precisará habilitar a auditoria na chave do Registro em regedit.exe. Basta clicar com o botão direito do mouse na chave e selecionar Permissions -> Advanced -> Auditing e auditar as ações necessárias para o usuário Everyone . Eu geralmente prefiro auditar mais do que menos.
A partir de agora, quando os valores do registro forem alterados, você verá o evento 4657 e, quando as chaves forem adicionadas / excluídas, você verá o evento 4663, por exemplo:
An attempt was made to access an object.
Subject:
Security ID: DOMAIN\user
Account Name: user
Account Domain: DOMAIN
Logon ID: 0x722be21
Object:
Object Server: Security
Object Type: Key
Object Name: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\SomeApplication\SomeKey
Handle ID: 0x100
Process Information:
Process ID: 0x650
Process Name: C:\Windows\regedit.exe
Access Request Information:
Accesses: DELETE
Access Mask: 0x10000
Você pode então acionar esses eventos no agendador de tarefas.