A variável do caminho da máquina é armazenada no registro em:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path
as variáveis do usuário estão em:
HKEY_CURRENT_USER\Environment
Para auditar objetos no Windows, é necessário fazer duas coisas.
Primeiro, ligue a auditoria, o que você já fez.
deve ser suficiente para ativar: Success para Audit object access
Em segundo lugar, você precisa alterar o objeto que deseja auditar.
No regedit.exe, navegue até a chave mencionada acima.
Selecione Permissions no menu Edit . Clique no botão Advanced e, em seguida, na guia Auditing .
Clique no botão Add e, em seguida, no link Select a principal , digite Everyone e clique em OK .
Marque Full Control e três vezes OK
Agora, o acesso a essa chave do registro é auditado. Para examinar a auditoria, use o Security log in Event Viewer
Ele deve informar: usuário, processo, horário e até mesmo o novo valor.
Quando você não precisar mais da auditoria, desligue-a novamente.