Аудит изменения политики аудита
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит изменения политики аудита, который определяет, создает ли операционная система события аудита, когда изменяется политика аудита.
Отслеживаются следующие изменения политики аудита.
Изменение разрешений и параметров аудита в объекте политики аудита (с помощью) auditpol /set /sd.
Изменение политики аудита системы.
Регистрация и отмена регистрации источников событий безопасности.
Изменение параметров аудита на уровне пользователя.
Изменение значения CrashOnAuditFail.
Изменение параметров аудита для объекта (например, изменение системного списка управления доступом (SACL) для файла или раздела реестра).
Примечание
Аудит изменения SACL осуществляется, если SACL для объекта изменился и настроена категория «Изменение политики». Список управления доступом на уровне пользователей (DACL) и аудит изменений владельца применяются, если настроен аудит доступа к объектам и SACL объекта настроен для аудита DACL или изменения владельца.
Изменение элементов списке особых групп.
Важно
Изменения политики аудита — важные события безопасности.
Объем событий: низкий
По умолчанию: успех
| Код события | Сообщение о событии |
|---|---|
4715 |
Политика аудита (SACL) объекта изменена. |
4719 |
Политика аудита системы изменена. |
4817 |
Параметры аудита для объекта были изменены. ПримечаниеЭто событие регистрируется только на компьютерах под управлением поддерживаемых версий ОС Windows. |
4902 |
Была создана таблица политики аудита на уровне пользователя. |
4904 |
Попытка зарегистрировать источник события безопасности. |
4905 |
Попытка отменить регистрацию источника события безопасности. |
4906 |
Значение CrashOnAuditFail изменилось. |
4907 |
Параметры аудита для объекта были изменены. |
4908 |
Таблица входов для специальных групп изменена. |
4912 |
Политика аудита на уровне пользователя изменена. |