プロセスの追跡の監査
プログラムのアクティブ化、プロセスの終了、ハンドルの複製、および間接的なオブジェクト アクセスなどのイベントの詳細な追跡情報を監査するかどうかを決定します。
このポリシー設定を定義する場合、成功を監査するか、失敗を監査するか、またはすべてのイベントの種類を監査しないかを指定できます。成功の監査は、追跡対象のプロセスが成功した場合に監査エントリを生成します。失敗の監査は、追跡対象のプロセスが失敗した場合に監査エントリを生成します。
この値を [監査しない] に設定するには、このポリシー設定の [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスを選択して [成功] と [失敗] のチェック ボックスをオフにします。
既定: [監査しない]。
このセキュリティ設定の構成
コンピューターの構成\Windows 設定\セキュリティの設定\ローカル ポリシー\監査ポリシーの下でこのセキュリティ設定を構成できます。
| プロセス追跡イベント | 説明 |
|---|---|
| 592 | 新しいプロセスが作成されました。 |
| 593 | プロセスが終了しました。 |
| 594 | オブジェクトに対するハンドルが複製されました。 |
| 595 | オブジェクトへの間接アクセスが取得されました。 |
| 596 | データ保護マスター キーがバックアップされました。注 マスター キーは CryptProtectData および CryptUnprotectData ルーチン、および暗号化ファイル システム (EFS) によって使用されます。マスター キーは新しいものが作成されるたびにバックアップされます。(既定の設定は 90 日です。)キーは通常、ドメイン コントローラーにバックアップされます。
|
| 597 | データ保護マスター キーが回復用のサーバーから回復されました。 |
| 598 | 監査可能なデータが保護されました。 |
| 599 | 監査可能なデータの保護が解除されました。 |
| 600 | プライマリ トークンがプロセスに割り当てられました。 |
| 601 | ユーザーがサービスのインストールを試みました。 |
| 602 | スケジューラ ジョブが作成されました。 |