Я не впевнений, чи є у домашньому виданні auditpol.exe
, але якщо він є, ця команда дозволить перевірити успіх та помилки для всіх дій, пов’язаних із входом у систему:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
Якщо ви дійсно хочете зірвати реєстр, ви можете скористатися тим відмінним документом, який ви знайшли. (Майкрософт застарів - це для Windows NT, у якого не було підкатегорій аудиту.) Спочатку вам потрібен доступ на системний рівень до Реєстру. Схоже, ви це вже зробили, але для всіх інших це можна зробити за допомогою PsExec :
psexec -s -i regedit
(Це створює екземпляр редактора реєстру, який працює як SYSTEM.) Після цього відкрийте значення за замовчуванням HKLM\SECURITY\Policy\PolAdtEv
. На другій сторінці документа наведені місця, які контролюють кожну підкатегорію. Наприклад, Logon починається з 22-го байта, або в шістнадцятковій формі (використовується бічною панеллю редактора реєстру), 16. На цьому знімку екрана я виділив частину, яка керує входом:
Це все 16-бітні (двобайтові) значення. 00 00
означає відсутність аудиту, 01 00
означає аудит успіху, 02 00
означає аудит невдач і 03 00
означає весь аудит.
Отже, якщо ви хочете перевірити успішність входу та входу в систему, ви замінили б дані, розпочаті в розташуванні 0x16 01 00 01 00
. У наведеному вище скріншоті я ввімкнув усі аудиторські перевірки. Якщо вам потрібна вся категорія входу / виходу, вам знадобиться дев'ять 01 00
s, оскільки є дев'ять підкатегорій.
Щоб зміни набули чинності, вам потрібно буде перезавантажити.