Аудит отслеживания процессов

Определяет, подлежат ли аудиту подробные сведения об отслеживании таких событий, как активация программы, завершение процесса, дублирование дескрипторов и косвенный доступ к объекту.

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита при успешном выполнении отслеживаемого процесса. Аудит отказов означает создание записи аудита при неудачном выполнении отслеживаемого процесса.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок "Определить следующие параметры политики" и снимите флажки Успех и Отказ.

По умолчанию: Нет аудита.

Настройка этого параметра безопасности

Настроить данный параметр безопасности можно в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".

События отслеживания процессовОписание
592Создан новый процесс.
593Процесс завершен.
594Продублирован дескриптор объекта.
595Получен косвенный доступ к объекту.
596Произведено резервное копирование главного ключа защиты данных.
Примечание  Основной ключ используется процедурами CryptProtectData и CryptUnprotectData, а также шифрованной файловой системой (EFS). Резервное копирование основного ключа производится каждый раз при создании нового ключа. Значение параметра по умолчанию — 90 дней. Обычно резервное копирование производится в контроллер домена.
 
597Главный ключ защиты данных восстановлен с сервера восстановления.
598Отслеживаемые данные защищены.
599Снята защита данных аудита.
600Основной маркер назначен процессу.
601Пользователь попытался установить службу.
602Создано задание планировщика.

 

Связанные разделы

Параметры базовой политики аудита безопасности

 

 

Показ: