Аудит отслеживания процессов
Определяет, подлежат ли аудиту подробные сведения об отслеживании таких событий, как активация программы, завершение процесса, дублирование дескрипторов и косвенный доступ к объекту.
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита при успешном выполнении отслеживаемого процесса. Аудит отказов означает создание записи аудита при неудачном выполнении отслеживаемого процесса.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.
По умолчанию: Нет аудита.
Настройка этого параметра безопасности
Настроить данный параметр безопасности можно в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
События отслеживания процессов | Описание |
---|---|
592 | Создан новый процесс. |
593 | Процесс завершен. |
594 | Продублирован дескриптор объекта. |
595 | Получен косвенный доступ к объекту. |
596 | Произведено резервное копирование главного ключа защиты данных.Примечание Основной ключ используется процедурами CryptProtectData и CryptUnprotectData, а также шифрованной файловой системой (EFS). Резервное копирование основного ключа производится каждый раз при создании нового ключа. Значение параметра по умолчанию — 90 дней. Обычно резервное копирование производится в контроллер домена.
|
597 | Главный ключ защиты данных восстановлен с сервера восстановления. |
598 | Отслеживаемые данные защищены. |
599 | Снята защита данных аудита. |
600 | Основной маркер назначен процессу. |
601 | Пользователь попытался установить службу. |
602 | Создано задание планировщика. |