Змініть аудиторську політику через Реєстр

Я розробляю програму для читання записів журналу подій аудиту. Але я застряг у своєму домашньому ноутбуці з Windows 10 Home, і я не можу запустити gpedit.mscабо secpol.msc. Таким чином, я повинен увімкнути події аудиту входу через Реєстр. Я придумав таке місцезнаходження:

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv

Це ресурси, які я знайшов:

Це моє поточне налаштування:

Як слід змінити налаштування, щоб успішність входу в журнал подій входила?

— гримбл
джерело

"Але я застряг у своєму домашньому ноутбуці з Windows 10 Home, оскільки я не можу запустити gpedit.msc" - неправда. Дивіться, що мої запитання і запитання Windows Starter Edition, Home and Home Premium не включають gpedit, як це встановити?

— DavidPostill

Дивіться також іншу мою відповідь Не можу встановити параметри політики аудиту у Windows 8.1, що б я не робив, що показує на скріншотах, як встановити політику аудиту для входу.

— DavidPostill

Дивно, що інструмент розміщений на deviantart .. І я не впевнений, що інструмент (нібито для Windows xp) не порушить моє налаштування реєстру ... Тож я буду чекати більш довірливої відповіді.

— грмбл

<shrug> Вона була протестована на Windows 10 високопоставленим користувачем Moab та підтверджена як робоча.

— DavidPostill

Читайте також коментарі на askvg.com/… (посилання на джерело). Багато підтверджень, що це працює.

— DavidPostill

Я не впевнений, чи є у домашньому виданні auditpol.exe, але якщо він є, ця команда дозволить перевірити успіх та помилки для всіх дій, пов’язаних із входом у систему:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

Якщо ви дійсно хочете зірвати реєстр, ви можете скористатися тим відмінним документом, який ви знайшли. (Майкрософт застарів - це для Windows NT, у якого не було підкатегорій аудиту.) Спочатку вам потрібен доступ на системний рівень до Реєстру. Схоже, ви це вже зробили, але для всіх інших це можна зробити за допомогою PsExec :

psexec -s -i regedit

(Це створює екземпляр редактора реєстру, який працює як SYSTEM.) Після цього відкрийте значення за замовчуванням HKLM\SECURITY\Policy\PolAdtEv. На другій сторінці документа наведені місця, які контролюють кожну підкатегорію. Наприклад, Logon починається з 22-го байта, або в шістнадцятковій формі (використовується бічною панеллю редактора реєстру), 16. На цьому знімку екрана я виділив частину, яка керує входом:

Це все 16-бітні (двобайтові) значення. 00 00означає відсутність аудиту, 01 00означає аудит успіху, 02 00означає аудит невдач і 03 00означає весь аудит.

Отже, якщо ви хочете перевірити успішність входу та входу в систему, ви замінили б дані, розпочаті в розташуванні 0x16 01 00 01 00. У наведеному вище скріншоті я ввімкнув усі аудиторські перевірки. Якщо вам потрібна вся категорія входу / виходу, вам знадобиться дев'ять 01 00s, оскільки є дев'ять підкатегорій.

Щоб зміни набули чинності, вам потрібно буде перезавантажити.

— Бен Н
джерело