Prozessverfolgung überwachen
Bestimmt, ob detaillierte Nachverfolgungsinformationen für Ereignisse überwacht werden sollen, z. B. Programmaktivierung, Prozessbeendigung, Handleduplizierung und indirekter Objektzugriff.
Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler überwacht werden, bzw. festlegen, dass der Ereignistyp überhaupt nicht überwacht wird. Bei Erfolgsüberwachungen wird ein Überwachungseintrag generiert, wenn der nachverfolgte Prozess erfolgreich ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn der nachverfolgte Prozess nicht erfolgreich ist.
Wenn Sie diesen Wert auf Keine Überwachung festlegen möchten, aktivieren Sie im Dialogfeld Eigenschaften für diese Richtlinieneinstellung das Kontrollkästchen „Diese Richtlinieneinstellungen definieren“, und deaktivieren Sie die Kontrollkästchen Erfolg und Fehler.
Standardeinstellung: Keine Überwachung.
Konfigurieren dieser Sicherheitseinstellung
Sie können diese Sicherheitseinstellung unter „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie“ konfigurieren.
| Prozessnachverfolgungsereignisse | Beschreibung |
|---|---|
| 592 | Ein neuer Prozess wurde erstellt. |
| 593 | Ein Prozess wurde beendet. |
| 594 | Ein Handle für ein Objekt wurde dupliziert. |
| 595 | Der indirekte Zugriff auf ein Objekt wurde erlangt. |
| 596 | Ein Datenschutz-Hauptschlüssel wurde gesichert.Hinweis Der Hauptschlüssel wird von den Routinen CryptProtectData und CryptUnprotectData und vom verschlüsselnden Dateisystem (Encrypting File System, EFS) verwendet. Der Hauptschlüssel wird jedes Mal gesichert, wenn ein neuer erstellt wird. (Die Standardeinstellung ist „90 Tage“.) Der Schlüssel wird normalerweise auf einem Domänencontroller gesichert.
|
| 597 | Ein Datenschutz-Hauptschlüssel wurde von einem Wiederherstellungsserver wiederhergestellt. |
| 598 | Der Schutz überprüfbarer Daten wurde aktiviert. |
| 599 | Der Schutz überprüfbarer Daten wurde deaktiviert. |
| 600 | Einem Prozess wurde ein primäres Token zugewiesen. |
| 601 | Ein Benutzer hat versucht, einen Dienst zu installieren. |
| 602 | Ein Planungsauftrag wurde erstellt. |
Verwandte Themen
Grundlegende Einstellungen für Sicherheitsüberwachungsrichtlinien