A variável do caminho da máquina é armazenada no registro em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path
as variáveis do usuário estão em:
HKEY_CURRENT_USER\Environment
Para auditar objetos no Windows, é necessário fazer duas coisas.
Primeiro, ligue a auditoria, o que você já fez.
deve ser suficiente para ativar: Success
para Audit object access
Em segundo lugar, você precisa alterar o objeto que deseja auditar.
No regedit.exe, navegue até a chave mencionada acima.
Selecione Permissions
no menu Edit
. Clique no botão Advanced
e, em seguida, na guia Auditing
.
Clique no botão Add
e, em seguida, no link Select a principal
, digite Everyone
e clique em OK
.
Marque Full Control
e três vezes OK
Agora, o acesso a essa chave do registro é auditado. Para examinar a auditoria, use o Security
log in Event Viewer
Ele deve informar: usuário, processo, horário e até mesmo o novo valor.
Quando você não precisar mais da auditoria, desligue-a novamente.