Змініть аудиторську політику через Реєстр


4

Я розробляю програму для читання записів журналу подій аудиту. Але я застряг у своєму домашньому ноутбуці з Windows 10 Home, і я не можу запустити gpedit.mscабо secpol.msc. Таким чином, я повинен увімкнути події аудиту входу через Реєстр. Я придумав таке місцезнаходження:

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv

Це ресурси, які я знайшов:

Це моє поточне налаштування:

вміст цього значення реєстру

Як слід змінити налаштування, щоб успішність входу в журнал подій входила?


1
"Але я застряг у своєму домашньому ноутбуці з Windows 10 Home, оскільки я не можу запустити gpedit.msc" - неправда. Дивіться, що мої запитання і запитання Windows Starter Edition, Home and Home Premium не включають gpedit, як це встановити?
DavidPostill

Дивіться також іншу мою відповідь Не можу встановити параметри політики аудиту у Windows 8.1, що б я не робив, що показує на скріншотах, як встановити політику аудиту для входу.
DavidPostill

Дивно, що інструмент розміщений на deviantart .. І я не впевнений, що інструмент (нібито для Windows xp) не порушить моє налаштування реєстру ... Тож я буду чекати більш довірливої ​​відповіді.
грмбл

<shrug> Вона була протестована на Windows 10 високопоставленим користувачем Moab та підтверджена як робоча.
DavidPostill

Читайте також коментарі на askvg.com/… (посилання на джерело). Багато підтверджень, що це працює.
DavidPostill

Відповіді:


4

Я не впевнений, чи є у домашньому виданні auditpol.exe, але якщо він є, ця команда дозволить перевірити успіх та помилки для всіх дій, пов’язаних із входом у систему:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

Якщо ви дійсно хочете зірвати реєстр, ви можете скористатися тим відмінним документом, який ви знайшли. (Майкрософт застарів - це для Windows NT, у якого не було підкатегорій аудиту.) Спочатку вам потрібен доступ на системний рівень до Реєстру. Схоже, ви це вже зробили, але для всіх інших це можна зробити за допомогою PsExec :

psexec -s -i regedit

(Це створює екземпляр редактора реєстру, який працює як SYSTEM.) Після цього відкрийте значення за замовчуванням HKLM\SECURITY\Policy\PolAdtEv. На другій сторінці документа наведені місця, які контролюють кожну підкатегорію. Наприклад, Logon починається з 22-го байта, або в шістнадцятковій формі (використовується бічною панеллю редактора реєстру), 16. На цьому знімку екрана я виділив частину, яка керує входом:

управління логотипом

Це все 16-бітні (двобайтові) значення. 00 00означає відсутність аудиту, 01 00означає аудит успіху, 02 00означає аудит невдач і 03 00означає весь аудит.

Отже, якщо ви хочете перевірити успішність входу та входу в систему, ви замінили б дані, розпочаті в розташуванні 0x16 01 00 01 00. У наведеному вище скріншоті я ввімкнув усі аудиторські перевірки. Якщо вам потрібна вся категорія входу / виходу, вам знадобиться дев'ять 01 00s, оскільки є дев'ять підкатегорій.

Щоб зміни набули чинності, вам потрібно буде перезавантажити.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.