Отслеживание и бэкап изменений в политиках, планировщике, службах и т. д.
 

Чем наглядно посмотреть изменения, произведенные программой в системе (для анализа активности, чистого удаления, создания портативки и т. д.)? Интересует все - файлы и директории в системе, записи в реестре, автозагрузке, файрволе, планировщике, службах, etc. Совсем в идеале - с возможностью экспорта данных об изменениях для отката, редактированием списка изменений с последующим применением или бэкапом только нужных. Крайне желательно делать это все не слежением за процессом, производящим эти самые изменения, как это делают ProcMon, ProcessHacker, а полным сравнением слепков до-после, как это делают Thinstall, Total Uninstall. Последний справляется с отслеживанием файлов, реестра и вроде бы служб, даже немножко редактировать, но там свои файлы проекта, да и это проприетарная утилита, что тоже не радует. Кстати, я так и не понял, вот те же политики - они тоже в реестре хранятся, если судить по https://technet.microsoft.com/ru-ru/library/hh147307 или все-таки в C:\Windows\PolicyDefinitions? А остальное перечисленное? Достаточно ли контролировать файлы, реестр и службы/устройства (включая виртуальные), чтобы контролировать все изменения, произведенные в системе?

Process Monitor.

Эти до и после, как правило, содержат кучу информации никак не относящейся к деятельности приложения. ОС-то не однозадачная.

Нет. В реестре хранится результат применения политик.

P.S. Создание т.н. «портативок» путём слепков — зло.

я не уверен в полноте результата, и потом, там тоже много лишнего бывает, но еще и как-то работать с этим трудно.
Но можно экспериментировать на виртуалке с чистой ОС и отсекать лишнее руками.
Не понял. В реестре хранится результат до и после применения, я же могу, сравнивая напрямую два слепка, выяснить, какие изменения были произведены, сохранить эти ключи-значения и потом применить их через reg файл? Или в реестре делается просто отметка по факту произведенных изменений, и она ни на что не влияет?

Лишнего там не бывает — Вы просто не фильтруете события.

Можно. Но Вы видите конечный результат, ничего не зная об его происхождении. Каким образом в данном случае собираетесь определять «лишнее»? Я не вижу путей.

До применения ничего не хранится. Создали политику, она применилась — в реестр записываются значения результирующей политики. Удалили политику, прошёл очередной цикл применения политик — параметры и значения из реестра удалены.

Можете. Для этого даже слепки не надо делать: в MSDN и TechNet всё достаточно детально описано — какие параметры реестра определяются той или иной политикой.

Вы поймите, параметры и значения в реестре — это уже результат применения политик, но никак не сама групповая политика.

В Pro и выше политики аудита. Если очень усердствовать, ими можно поставить систему на колени.

А так, цели непонятны - условия эксплуатации ПК (среда, пользователи) и практический смысл контроля.

Возможно, делаю это неправильно (хотя что там неправильно делать? Нажал на прицел, нажал на окно приложения - отфильтровалось)
Слепок до - начальное состояние. Слепок после - конечное. Изучение изменений. Мне это и нужно, собственно. Добавление значения - тоже изменение же.
Как и удаление. Не обязательно изменение существующего.
Может быть, я этого как раз не понял. Поясните пожалуйста, а то туплю. Вот есть некоторое правило (политика) что делать при определенных ее значениях. Вот эти значения определяются в реестре. Так ведь? А сами эти правила лежат в папке windows.
Вас вообще не понял, если честно.
Условия - чистая ОС на реальном или виртуальном железе, я - пользователь. Практический смысл небольшой, в основном академический интерес, например, хочется посмотреть, какими изменениями в реестре и ФС достигаются те или иные изменения, визуально обнаруживаемые в системе (грубо говоря, надо откуда-то узнать, что приложение proga.exe меняет свой стиль с классического на обновленный, когда в определенной папке реестра хранится параметр style=new, но в документации к программе этого нет).

Ссылку не пробовали читать? А потом еще гуглить по волшебному словосочетанию политики аудита и курить доки? Впрочем, для сформулированных целей это не нужно,

Хотелось бы немного апнуть тему, так как я так и не смог найти ничего лучше, чем Тотал Анинсталл и Прокмон.

Где хранятся наст-ки политики, аудита, апплокера, правила FW, как их редактировать?
 

Уже спрашивал, но может кто-нибудь сейчас ответит, где windows 10 (и предыдущие) хранит настройки групповых политик, аудита, апплокера, правила файрвола и подобное? Как отследить их изменения и применять их НЕ через встроенный мастер (НЕ через gpedit.msc и редактор реестра)? А с экспортом в txt/cvs/xml/..., возможностью сравнить два слепка, сделать бэкап, восстановить бэкап, отредактировать в удобном виде...
Windows 10 x64 LTSB билд 6850847.

Думаю, вам надо покурить гугл на темы
manage admx
compare admx

Файлы локальных политик: C:\Windows\System32\GroupPolicy\
Доменные: \\%UserDNSDomain%\SysVol