énumération POLICY_AUDIT_EVENT_TYPE (ntsecapi.h)

  • Article

L’énumération POLICY_AUDIT_EVENT_TYPE définit des valeurs qui indiquent les types d’événements que le système peut auditer. Les fonctions LsaQueryInformationPolicy et LsaSetInformationPolicy utilisent cette énumération lorsque leurs paramètres InformationClass sont définis sur PolicyAuditEventsInformation.

Syntax

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Constantes

 
AuditCategorySystem
Valeur : 0
Détermine si le système d’exploitation doit auditer l’une des tentatives suivantes :


  • Tentative de modification de l’heure système.

  • Tentative de démarrage, de redémarrage ou d’arrêt du système de sécurité.

  • Essayez de charger des fonctionnalités d’authentification extensibles.

  • Perte d’événements audités en raison d’une défaillance du système d’audit.

  • Taille du journal de sécurité qui dépasse un seuil d’avertissement configurable.
AuditCategoryLogon
Détermine si le système d’exploitation doit effectuer un audit chaque fois que cet ordinateur valide les informations d’identification d’un compte. Les événements d’ouverture de session de compte sont générés chaque fois qu’un ordinateur valide les informations d’identification de l’un de ses comptes locaux. La validation des informations d’identification peut prendre en charge une ouverture de session locale ou, dans le cas d’un compte de domaine Active Directory sur un contrôleur de domaine, peut prendre en charge une ouverture de session sur un autre ordinateur. Les événements audités pour les comptes locaux doivent être enregistrés dans le journal de sécurité local de l’ordinateur. La déconnexion du compte ne génère pas d’événement pouvant être audité.
AuditCategoryObjectAccess
Détermine si le système d’exploitation doit auditer chaque instance de tentatives d’accès utilisateur à un objet non Active Directory, tel qu’un fichier, qui a sa propre liste de contrôle d’accès (SACL) système spécifiée. Le type de demande d’accès, tel que Write, Read ou Modify, et le compte qui effectue la demande doivent correspondre aux paramètres de la SACL.
AuditCategoryPrivilegeUse
Détermine si le système d’exploitation doit auditer chaque instance de tentatives d’utilisation de privilèges par l’utilisateur.
AuditCategoryDetailedTracking
Détermine si le système d’exploitation doit auditer des événements spécifiques, tels que l’activation de programme, certaines formes de duplication de handle, l’accès indirect à un objet et la sortie du processus.
AuditCategoryPolicyChange
Détermine si le système d’exploitation doit auditer les tentatives de modification des règles d’objet de stratégie, telles que la stratégie d’attribution des droits utilisateur, la stratégie d’audit, la stratégie de compte ou la stratégie d’approbation.
AuditCategoryAccountManagement
Détermine si le système d’exploitation doit auditer les tentatives de création, de suppression ou de modification de comptes d’utilisateur ou de groupe. Auditez également les modifications de mot de passe.
AuditCategoryDirectoryServiceAccess
Détermine si le système d’exploitation doit auditer les tentatives d’accès au service d’annuaire. L’objet Active Directory a sa propre SACL spécifiée. Le type de demande d’accès, tel que Write, Read ou Modify, et le compte qui effectue la demande doivent correspondre aux paramètres de la SACL.
AuditCategoryAccountLogon
Détermine si le système d’exploitation doit auditer chaque instance d’un utilisateur tente de se connecter ou de se déconnecter de cet ordinateur. Audite également les tentatives d’ouverture de session par les comptes privilégiés qui se connectent au contrôleur de domaine. Ces événements d’audit sont générés lorsque le centre de distribution de clés Kerberos (KDC) se connecte au contrôleur de domaine. Des tentatives de déconnexion sont générées chaque fois que la session d’ouverture de session d’un compte d’utilisateur connecté est terminée.

Remarques

L’énumération POLICY_AUDIT_EVENT_TYPE peut se développer dans les versions ultérieures de Windows. Pour cette raison, vous ne devez pas calculer directement le nombre de valeurs de cette énumération. Au lieu de cela, vous devez obtenir le nombre de valeurs en appelant LsaQueryInformationPolicy avec le paramètre InformationClass défini sur PolicyAuditEventsInformation et extraire le nombre du membre MaximumAuditEventCount de la structure POLICY_AUDIT_EVENTS_INFO retournée.

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2003 [applications de bureau uniquement]
En-tête ntsecapi.h

Voir aussi

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS