Аудит работы с дескрипторами
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит работы с дескрипторами, который определяет, создает ли операционная система события аудита при открытии или закрытии дескриптора объекта.
Только объекты с настроенными системными списками управления доступом (SACL) создают эти события и только если выполняемая операция с маркером соответствует SACL.
Важно
События работы с дескрипторами создаются только для типов объектов, для которых включена соответствующая подкатегория доступа к объектам файловой системы или реестра. Дополнительные сведения см. в разделе Аудит файловой системы или Аудит реестра.
Объем событий: высокий в зависимости от настройки списков SACL
По умолчанию: не настроено
Код события | Сообщение о событии |
---|---|
4656 |
Запрошен дескриптор объекта. |
4658 |
Дескриптор объекта был закрыт. |
4690 |
Попытка скопировать дескриптор объекта. |