Аудит использования привилегий

Определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом.

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит событий этого типа. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.

По умолчанию: Нет аудита.

Аудиту не подлежат попытки применения нижеуказанных прав пользователей, даже если для политики Аудит использования привилегий задан аудит успехов или аудит отказов. Включение аудита этих прав пользователей ведет к формированию множества событий в журнале безопасности, что может снизить производительность компьютера. Для аудита следующих прав пользователя включите раздел реестра FullPrivilegeAuditing.

  • Обход перекрестной проверки

  • Отладка программ

  • Создание маркерного объекта

  • Замена маркера уровня процесса

  • Создание аудитов безопасности

  • Архивация файлов и каталогов

  • Восстановление файлов и каталогов

Настройка этого параметра аудита

Настроить данный параметр безопасности можно в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".

События использования привилегийОписание
576Указанные привилегии добавлены в маркер доступа.
Примечание  Это событие формируется при входе пользователя в систему.
 
577Пользователь пытался выполнить привилегированную операцию системной службы.
578Привилегии использованы при уже открытом дескрипторе защищенного объекта.

 

Связанные разделы

Параметры базовой политики аудита безопасности

 

 

Показ: