审核特殊登录
面向 IT 专业人员的本主题介绍高级安全审核策略设置“审核特殊登录”,此策略设置确定操作系统是否在特殊登录条件下生成审核事件。
此安全策略设置可确定操作系统是否在以下情况下生成审核事件:
使用特殊登录。特殊登录指使用管理员等效的特权登录,并可用于将过程提升到更高的级别。
特殊组成员登录。特殊组是一种 Windows 功能,使管理员能够确定某些组成员登录的时间。管理员可以在注册表中设置一列组安全标识符 (SID)。如果在登录期间任何这些 SID 被添加到令牌,并且这些审核子类别被启用,都会记录安全事件。有关此功能的详细信息,请参阅 Microsoft 知识库中的文章 947223 (https://go.microsoft.com/fwlink/p/?linkid=120183)。
持有特殊特权的用户可以对系统进行更改。建议你跟踪他们的活动。
事件量:低
默认值:成功
| 事件 ID | 事件消息 |
|---|---|
4964 |
特殊组已分配到新登录。 |