Política CSP – Auditoria
AccountLogon_AuditCredentialValidation
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
Essa configuração de política permite auditar eventos gerados por testes de validação em credenciais de logon da conta de usuário. Os eventos nesta subcategoria ocorrem apenas no computador que é autoritativo para essas credenciais. Para contas de domínio, o controlador de domínio é autoritativo. Para contas locais, o computador local é autoritativo.
Volume: alto em controladores de domínio.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Validação de Credenciais de Auditoria |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Configuração > de políticas > de auditoria conta conta logon |
AccountLogon_AuditKerberosAuthenticationService
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
Essa configuração de política permite auditar eventos gerados por solicitações TGT (TGT) de concessão de tíquete de autenticação kerberos.
Se você configurar essa configuração de política, um evento de auditoria será gerado após uma solicitação TGT de autenticação Kerberos. Auditorias de sucesso registram solicitações bem-sucedidas e auditorias de falha registram solicitações malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado após uma solicitação TGT de autenticação kerberos.
Volume: alto em servidores do Kerberos Key Distribution Center.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do serviço de autenticação Kerberos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Configuração > de políticas > de auditoria conta conta logon |
AccountLogon_AuditKerberosServiceTicketOperations
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
Essa configuração de política permite que você audite os eventos gerados pelas solicitações TGT (TGT) de concessão de tíquete de autenticação kerberos enviadas para contas de usuário.
Se você configurar essa configuração de política, um evento de auditoria será gerado após uma TGT de autenticação Kerberos ser solicitada para uma conta de usuário. Auditorias de sucesso registram solicitações bem-sucedidas e auditorias de falha registram solicitações malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado após uma TGT de autenticação Kerberos ser solicitada para uma conta de usuário.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria das operações do tíquete de serviço Kerberos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Configuração > de políticas > de auditoria conta conta logon |
AccountLogon_AuditOtherAccountLogonEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
Essa configuração de política permite auditar eventos gerados por respostas a solicitações de credencial enviadas para um logon de conta de usuário que não são validação de credencial ou tíquetes Kerberos. Atualmente, não há eventos nesta subcategoria.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de outros eventos de logon de conta |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Configuração > de políticas > de auditoria conta conta logon |
AccountLogonLogoff_AuditAccountLockout
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
Essa configuração de política permite que você audite os eventos gerados por uma tentativa fracassada de fazer logon em uma conta bloqueada. Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma conta não pode fazer logon em um computador porque a conta está bloqueada. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas. Eventos de logon são essenciais para entender a atividade do usuário e detectar possíveis ataques.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Bloqueio de Conta |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditGroupMembership
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
Essa política permite que você audite as informações de associação de grupo no token de logon do usuário. Eventos nesta subcategoria são gerados no computador no qual uma sessão de logon é criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador ao qual o usuário se conectou. Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Você também deve habilitar a configuração de Logon de Auditoria em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Logon/Logoff. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança.
Volume: baixo em um computador cliente. Médio em um controlador de domínio ou em um servidor de rede.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria da associação a um grupo |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditIPsecExtendedMode
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
Essa configuração de política permite que você audite eventos gerados pelo Protocolo do Internet Key Exchange (IKE) e Protocolo de Internet Autenticado (AuthIP) durante as negociações de Modo Estendido.
Se você configurar essa configuração de política, um evento de auditoria será gerado durante uma negociação do Modo Estendido IPsec. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado durante uma negociação do Modo Estendido IPsec.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Modo Estendido do IPsec |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditIPsecMainMode
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
Essa configuração de política permite que você audite eventos gerados pelo Protocolo do Internet Key Exchange (IKE) e Protocolo de Internet Autenticado (AuthIP) durante as negociações do Modo Principal.
Se você configurar essa configuração de política, um evento de auditoria será gerado durante uma negociação do Modo Principal IPsec. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado durante uma negociação do Modo Principal IPsec.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Modo Principal do IPsec |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditIPsecQuickMode
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
Essa configuração de política permite que você audite eventos gerados pelo Protocolo do Internet Key Exchange (IKE) e Protocolo de Internet Autenticado (AuthIP) durante as negociações do Modo Rápido. Se você configurar essa configuração de política, um evento de auditoria será gerado durante uma negociação do Modo Rápido IPsec. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas. Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado durante uma negociação do Modo Rápido IPsec.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Modo Rápido do IPsec |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditLogoff
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
Essa configuração de política permite auditar eventos gerados pelo fechamento de uma sessão de logon. Esses eventos ocorrem no computador que foi acessado. Para um logoff interativo, o evento de auditoria de segurança é gerado no computador ao qual a conta de usuário se conectou.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma sessão de logon é fechada. Auditorias de sucesso registram tentativas bem-sucedidas de fechar sessões e auditorias de falha registram tentativas malsucedidas de fechar sessões.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma sessão de logon é fechada.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Logoff de Auditoria |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditLogon
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
Essa configuração de política permite auditar eventos gerados por tentativas de logon da conta de usuário no computador. Os eventos nesta subcategoria estão relacionados à criação de sessões de logon e ocorrem no computador acessado. Para um logon interativo, o evento de auditoria de segurança é gerado no computador ao qual a conta de usuário se conectou. Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. Os seguintes eventos estão incluídos: tentativas de logon bem-sucedidas. Tentativas de logon com falha. Tentativas de logon usando credenciais explícitas. Esse evento é gerado quando um processo tenta fazer logon em uma conta especificando explicitamente as credenciais dessa conta. Isso ocorre mais comumente em configurações de logon em lote, como tarefas agendadas ou ao usar o comando RUNAS. OS SIDs (identificadores de segurança) foram filtrados e não foram permitidos fazer logon.
Volume: baixo em um computador cliente. Médio em um controlador de domínio ou em um servidor de rede.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Logon de Auditoria |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditNetworkPolicyServer
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
Essa configuração de política permite auditar eventos gerados por solicitações de acesso de usuário RADIUS (IAS) e NAP (Proteção de Acesso à Rede). Essas solicitações podem ser Concessão, Negar, Descartar, Quarentena, Bloqueio e Desbloqueio.
Se você configurar essa configuração de política, um evento de auditoria será gerado para cada solicitação de acesso do usuário IAS e NAP. Auditorias de sucesso registram solicitações de acesso bem-sucedidas do usuário e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essas configurações de política, as solicitações de acesso do usuário IAS e NAP não serão auditadas.
Volume: médio ou alto no servidor NPS e IAS. Nenhum volume em outros computadores.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 3 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 (Padrão) | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Servidor de Política de Rede |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
Essa configuração de política permite auditar outros eventos relacionados a logon/logoff que não estão cobertos na configuração da política "Logon/Logoff", como o seguinte: desconexões de sessão dos Serviços de Terminal. Novas sessões dos Serviços de Terminal. Bloquear e desbloquear uma estação de trabalho. Invocando um protetor de tela. Demissão de um protetor de tela. Detecção de um ataque de replay kerberos, no qual uma solicitação Kerberos foi recebida duas vezes com informações idênticas. Essa condição pode ser causada por má configuração de rede. Acesso a uma rede sem fio concedida a uma conta de usuário ou computador. Acesso a uma rede com fio 802.1x concedida a uma conta de usuário ou computador.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditar outros eventos de logon de logon |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditSpecialLogon
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
Essa configuração de política permite auditar eventos gerados por logons especiais, como o seguinte: o uso de um logon especial, que é um logon que tem privilégios equivalentes ao administrador e pode ser usado para elevar um processo a um nível mais alto. Um logon de um membro de um Grupo Especial. Grupos especiais permitem auditar eventos gerados quando um membro de um determinado grupo tiver feito logon em sua rede. Você pode configurar uma lista de SIDs (identificadores de segurança de grupo) no registro. Se algum desses SIDs for adicionado a um token durante o logon e a subcategoria estiver habilitada, um evento será registrado. Para obter mais informações sobre esse recurso, consulte artigo 947223 na Base de Dados de Conhecimento da Microsoft.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Logon Especial |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountLogonLogoff_AuditUserDeviceClaims
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
Essa política permite que você audite informações de declarações de usuário e dispositivo no token de logon do usuário. Eventos nesta subcategoria são gerados no computador no qual uma sessão de logon é criada. Para um logon interativo, o evento de auditoria de segurança é gerado no computador ao qual o usuário se conectou. Para um logon de rede, como acessar uma pasta compartilhada na rede, o evento de auditoria de segurança é gerado no computador que hospeda o recurso. As declarações de usuário são adicionadas a um token de logon quando as declarações são incluídas com os atributos da conta de um usuário no Active Directory. As declarações de dispositivo são adicionadas ao token de logon quando as declarações são incluídas com os atributos da conta de computador de um dispositivo no Active Directory. Além disso, a identidade composta deve ser habilitada para o domínio e no computador no qual o usuário se conectou. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Você também deve habilitar a configuração de Logon de Auditoria em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Logon/Logoff. Vários eventos serão gerados se as informações de declarações do usuário e do dispositivo não puderem se encaixar em um único evento de auditoria de segurança.
Volume: baixo em um computador cliente. Médio em um controlador de domínio ou em um servidor de rede.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditar declarações de dispositivo de usuário |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas > de auditoria logon/logoff |
AccountManagement_AuditApplicationGroupManagement
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
Essa configuração de política permite que você audite eventos gerados por alterações em grupos de aplicativos, como o seguinte: o grupo de aplicativos é criado, alterado ou excluído. O membro é adicionado ou removido de um grupo de aplicativos.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar um grupo de aplicativos é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um grupo de aplicativos é alterado.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do gerenciamento de grupo de aplicativos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
AccountManagement_AuditComputerAccountManagement
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
Essa configuração de política permite auditar eventos gerados por alterações em contas de computador, como quando uma conta de computador é criada, alterada ou excluída.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar uma conta de computador é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conta de computador é alterada.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Gerenciamento de Conta de Computador |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
AccountManagement_AuditDistributionGroupManagement
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
Essa configuração de política permite que você audite eventos gerados por alterações em grupos de distribuição, como o seguinte: o grupo de distribuição é criado, alterado ou excluído. O membro é adicionado ou removido de um grupo de distribuição. O tipo de grupo de distribuição é alterado.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar um grupo de distribuição é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um grupo de distribuição é alterado.
Observação
Os eventos nesta subcategoria são registrados apenas em controladores de domínio.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Gerenciamento de Grupo de Distribuição |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
AccountManagement_AuditOtherAccountManagementEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
Essa configuração de política permite auditar eventos gerados por outras alterações de conta de usuário que não estão abordadas nessa categoria, como o seguinte: o hash de senha de uma conta de usuário foi acessado. Isso normalmente acontece durante uma migração de senha da Ferramenta de Gerenciamento do Active Directory. A API de Verificação de Política de Senha foi chamada. As chamadas para essa função podem fazer parte de um ataque quando um aplicativo mal-intencionado testa a política para reduzir o número de tentativas durante um ataque de dicionário de senha. Alterações no Domínio Padrão Política de Grupo nos seguintes caminhos Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Configuração do Computador de Política de Senha\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Bloqueio de Conta.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Outros Eventos de Gerenciamento de Contas |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
AccountManagement_AuditSecurityGroupManagement
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
Essa configuração de política permite que você audite eventos gerados por alterações em grupos de segurança, como o seguinte: o grupo de segurança é criado, alterado ou excluído. O membro é adicionado ou removido de um grupo de segurança. O tipo de grupo é alterado.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar um grupo de segurança é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um grupo de segurança é alterado.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Gerenciamento de Grupo de Segurança |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
AccountManagement_AuditUserAccountManagement
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
Essa configuração de política permite que você audite as alterações nas contas de usuário. Os eventos incluem o seguinte: uma conta de usuário é criada, alterada, excluída; renomeado, desabilitado, habilitado, bloqueado ou desbloqueado. A senha de uma conta de usuário é definida ou alterada. Um SID (identificador de segurança) é adicionado ao histórico sid de uma conta de usuário. A senha modo de restauração dos Serviços de Diretório está configurada. As permissões em contas de usuário administrativas são alteradas. As credenciais do Credential Manager são apoiadas ou restauradas.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar uma conta de usuário é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conta de usuário é alterada.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Gerenciamento de Conta de Usuário |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política de auditoria Gerenciamento > de contas de políticas de auditoria do > sistema |
DetailedTracking_AuditDPAPIActivity
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
Essa configuração de política permite auditar eventos gerados quando solicitações de criptografia ou descriptografia são feitas na DPAPI (interface do aplicativo de Proteção de Dados). O DPAPI é usado para proteger informações secretas, como senha armazenada e informações de chave. Para obter mais informações sobre o DPAPI, consulte Como usar a Proteção de Dados.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma solicitação de criptografia ou descriptografia é feita ao DPAPI. Auditorias de sucesso registram solicitações bem-sucedidas e auditorias de falha registram solicitações malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma solicitação de criptografia ou descriptografia é feita ao DPAPI.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Atividade DPAPI |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DetailedTracking_AuditPNPActivity
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
Essa configuração de política permite que você audite quando plug e play detecta um dispositivo externo.
Se você configurar essa configuração de política, um evento de auditoria será gerado sempre que plug and play detectar um dispositivo externo. Somente auditorias com êxito são registradas para essa categoria.
Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado pelo Plug and Play.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria das atividades PNP |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DetailedTracking_AuditProcessCreation
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
Essa configuração de política permite que você audite os eventos gerados quando um processo é criado ou iniciado. O nome do aplicativo ou do usuário que criou o processo também é auditado.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando um processo é criado. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um processo é criado.
Volume: depende de como o computador é usado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Criação de Processo |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DetailedTracking_AuditProcessTermination
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
Essa configuração de política permite que você audite os eventos gerados quando um processo termina.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando um processo termina. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um processo termina.
Volume: depende de como o computador é usado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Terminação de Processo |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DetailedTracking_AuditRPCEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
Essa configuração de política permite auditar conexões RPC (chamada de procedimento remoto de entrada).
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma conexão RPC remota é tentada. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conexão RPC remota é tentada.
Volume: alto em servidores RPC.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Eventos de RPC |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DetailedTracking_AuditTokenRightAdjusted
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
Essa configuração de política permite auditar eventos gerados ajustando os privilégios de um token.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Direito de Token de Auditoria Ajustado |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Política de auditoria políticas > de monitoramento detalhado |
DSAccess_AuditDetailedDirectoryServiceReplication
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
Essa configuração de política permite que você audite eventos gerados pela replicação detalhada de Active Directory Domain Services (AD DS) entre controladores de domínio.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Replicação Detalhada do Serviço de Diretório |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas políticas >>> de auditoria do sistema de auditoria do sistema de auditoria acesso |
DSAccess_AuditDirectoryServiceAccess
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
Essa configuração de política permite auditar eventos gerados quando um objeto AD DS (Active Directory Domain Services) é acessado. Somente objetos DS do AD com uma SACL (lista de controle de acesso do sistema) correspondente são registrados. Os eventos nesta subcategoria são semelhantes aos eventos do Directory Service Access disponíveis em versões anteriores do Windows.
Volume: alto em controladores de domínio. Nenhum em computadores cliente.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do acesso ao serviço de diretório |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas políticas >>> de auditoria do sistema de auditoria do sistema de auditoria acesso |
DSAccess_AuditDirectoryServiceChanges
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
Essa configuração de política permite auditar eventos gerados por alterações em objetos no AD DS (Active Directory Domain Services). Os eventos são registrados quando um objeto é criado, excluído, modificado, movido ou não excluído. Quando possível, os eventos registrados nesta subcategoria indicam os valores antigos e novos das propriedades do objeto. Os eventos nesta subcategoria são registrados apenas em controladores de domínio e somente objetos no AD DS com uma SACL (lista de controle de acesso do sistema) correspondente são registrados.
Observação
Ações em alguns objetos e propriedades não fazem com que eventos de auditoria sejam gerados devido a configurações na classe de objeto no esquema.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar um objeto no AD DS é feita. Auditorias de sucesso registram tentativas bem-sucedidas, no entanto, tentativas mal sucedidas NÃO são registradas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma tentativa de alterar um objeto no objeto AD DS é feita.
Volume: somente controladores de domínio altos.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Alterações no Serviço de Diretório |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas políticas >>> de auditoria do sistema de auditoria do sistema de auditoria acesso |
DSAccess_AuditDirectoryServiceReplication
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
Essa configuração de política permite que você audite a replicação entre dois controladores de domínio do AD DS (Active Directory Domain Services).
Se você configurar essa configuração de política, um evento de auditoria será gerado durante a replicação do AD DS. Auditorias de sucesso registram replicação bem-sucedida e auditorias de falha registram replicação mal sucedida.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado durante a replicação do AD DS.
Volume: médio em controladores de domínio. Nenhum em computadores cliente.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Replicação do Serviço de Diretório |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas políticas >>> de auditoria do sistema de auditoria do sistema de auditoria acesso |
ObjectAccess_AuditApplicationGenerated
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
Essa configuração de política permite auditar aplicativos que geram eventos usando as APIs (interfaces de programação do aplicativo de auditoria do Windows). Os aplicativos projetados para usar a API de Auditoria do Windows usam essa subcategoria para registrar eventos de auditoria relacionados à função. Os eventos nesta subcategoria incluem: Criação de um contexto de cliente de aplicativo. Exclusão de um contexto de cliente de aplicativo. Inicialização de um contexto de cliente de aplicativo. Outras operações de aplicativo usando as APIs de Auditoria do Windows.
Volume: depende dos aplicativos que os estão gerando.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Aplicativo Gerado |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditCentralAccessPolicyStaging
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
Essa configuração de política permite auditar solicitações de acesso em que a permissão concedida ou negada por uma política proposta difere da política de acesso central atual em um objeto. Se você configurar essa configuração de política, um evento de auditoria será gerado sempre que um usuário acessa um objeto e a permissão concedida pela política de acesso central atual no objeto difere da concedida pela política proposta. O evento de auditoria resultante será gerado da seguinte maneira: 1) Auditorias de sucesso, quando configurada, registram tentativas de acesso quando a política de acesso central atual concede acesso, mas a política proposta nega acesso. 2) Auditorias de falha quando o acesso de registros configurado tenta quando: a) A política de acesso central atual não concede acesso, mas a política proposta concede acesso. b) Uma entidade de segurança solicita os direitos máximos de acesso permitidos e os direitos de acesso concedidos pela política de acesso central atual são diferentes dos direitos de acesso concedidos pela política proposta. Volume: potencialmente alto em um servidor de arquivo quando a política proposta difere significativamente da política de acesso central atual.
Volume: potencialmente alto em um servidor de arquivo quando a política proposta difere significativamente da política de acesso central atual.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do preparo da política de acesso central |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditCertificationServices
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
Essa configuração de política permite que você audite as operações do AD CS (Active Directory Certificate Services). As operações do AD CS incluem o seguinte: inicialização/desligamento/backup/restauração do AD CS. Alterações na lista de revogação de certificado (CRL). Novas solicitações de certificado. Emissão de um certificado. Revogação de um certificado. Alterações nas configurações do Gerenciador de Certificados para CS do AD. Alterações na configuração do AD CS. Alterações em um modelo dos Serviços de Certificado. Importação de um certificado. A publicação de um certificado de autoridade de certificação deve Active Directory Domain Services. Alterações nas permissões de segurança do AD CS. Arquivamento de uma chave. Importação de uma chave. Recuperação de uma chave. Início do Serviço de Responder do Protocolo de Status de Certificado Online (OCSP). Interrupção do Serviço de Resposta do Protocolo de Status de Certificado Online (OCSP).
Volume: computadores médios ou baixos que executam os Serviços de Certificado do Active Directory.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de serviços de certificação |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditDetailedFileShare
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
Essa configuração de política permite que você audite tentativas de acessar arquivos e pastas em uma pasta compartilhada. A configuração do Compartilhamento de Arquivos Detalhado registra um evento sempre que um arquivo ou pasta é acessado, enquanto a configuração Compartilhamento de Arquivos registra apenas um evento para qualquer conexão estabelecida entre um cliente e um compartilhamento de arquivos. Eventos detalhados de auditoria do Compartilhamento de Arquivos incluem informações detalhadas sobre as permissões ou outros critérios usados para conceder ou negar acesso.
- Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa é feita para acessar um arquivo ou pasta em um compartilhamento. O administrador pode especificar se deve auditar apenas êxitos, apenas falhas ou êxitos e falhas.
Observação
Não há SACLs (listas de controle de acesso do sistema) para pastas compartilhadas.
- Se essa configuração de política estiver habilitada, o acesso a todos os arquivos e pastas compartilhados no sistema será auditado.
Volume: alto em um servidor de arquivo ou controlador de domínio devido ao acesso à rede SYSVOL exigido por Política de Grupo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Compartilhamento de Arquivos de Auditoria Detalhado |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditFileShare
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
Essa configuração de política permite que você audite as tentativas de acessar uma pasta compartilhada.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa é feita para acessar uma pasta compartilhada.
Se essa configuração de política for definida, o administrador poderá especificar se deve auditar apenas êxitos, apenas falhas ou êxitos e falhas.
Observação
Não há SACLs (listas de controle de acesso do sistema) para pastas compartilhadas.
- Se essa configuração de política estiver habilitada, o acesso a todas as pastas compartilhadas no sistema será auditado.
Volume: alto em um servidor de arquivo ou controlador de domínio devido ao acesso à rede SYSVOL exigido por Política de Grupo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Compartilhamento de Arquivos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditFileSystem
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
Essa configuração de política permite que você audite as tentativas do usuário de acessar objetos do sistema de arquivos. Um evento de auditoria de segurança é gerado apenas para objetos que têm as listas de controle de acesso do sistema (SACL) especificadas e somente se o tipo de acesso solicitado, como Gravar, Ler ou Modificar e a conta que faz a solicitação corresponder às configurações no SACL. Para obter mais informações sobre como habilitar a auditoria de acesso ao objeto, consulte<https://go.microsoft.com/fwlink/?LinkId=122083>.
Se você configurar essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessa um objeto do sistema de arquivos com um SACL correspondente. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessa um objeto do sistema de arquivos com um SACL correspondente.
Observação
Você pode definir um SACL em um objeto do sistema de arquivos usando a guia Segurança na caixa de diálogo Propriedades desse objeto.
Volume: depende de como os SACLs do sistema de arquivos são configurados.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Sistema de Arquivos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditFilteringPlatformConnection
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
Essa configuração de política permite auditar conexões permitidas ou bloqueadas pelo WFP (Plataforma de Filtragem do Windows). Os eventos a seguir estão incluídos: o Serviço de Firewall do Windows impede que um aplicativo aceite conexões de entrada na rede. O WFP permite uma conexão. O WFP bloqueia uma conexão. O WFP permite uma associação a uma porta local. O WFP bloqueia uma associação a uma porta local. O WFP permite uma conexão. O WFP bloqueia uma conexão. O WFP permite que um aplicativo ou serviço ouça em uma porta para conexões de entrada. O WFP bloqueia um aplicativo ou serviço para ouvir em uma porta para conexões de entrada.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando as conexões são permitidas ou bloqueadas pelo WFP. O sucesso audita eventos de registro gerados quando as conexões são permitidas e a falha audita eventos de registro gerados quando as conexões são bloqueadas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando conectado é permitido ou bloqueado pelo WFP.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Conexão de Plataforma de Filtragem |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditFilteringPlatformPacketDrop
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
Essa configuração de política permite que você audite pacotes que são descartados pela WFP (Plataforma de Filtragem do Windows).
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Descarte de Pacote de Plataforma de Filtragem |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditHandleManipulation
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
Essa configuração de política permite que você audite os eventos gerados quando um identificador para um objeto é aberto ou fechado. Somente objetos com uma SACL (lista de controle de acesso do sistema) correspondente geram eventos de auditoria de segurança.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando um identificador é manipulado. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um identificador é manipulado.
Observação
Os eventos nesta subcategoria geram eventos apenas para tipos de objeto em que a subcategoria de Acesso ao Objeto correspondente está habilitada. Por exemplo, se o acesso ao objeto do sistema de arquivos estiver habilitado, os eventos de auditoria de segurança de manipulação serão gerados. Se o acesso ao objeto do Registry não estiver habilitado, os eventos de auditoria de segurança de manipulação não serão gerados.
Volume: depende de como os SACLs são configurados.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Manipulação de Identificador |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditKernelObject
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
Essa configuração de política permite que você audite as tentativas de acesso ao kernel, que incluem mutexes e semáforos. Somente objetos kernel com uma SACL (lista de controle de acesso do sistema) correspondente geram eventos de auditoria de segurança.
Observação
A Auditoria: Auditar o acesso da configuração de política de objetos do sistema global controla o SACL padrão de objetos kernel.
Volume: alto se o acesso de auditoria de objetos do sistema global estiver habilitado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Objeto Kernel |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditOtherObjectAccessEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
Essa configuração de política permite auditar eventos gerados pelo gerenciamento de trabalhos de agendador de tarefas ou objetos COM+. Para trabalhos de agendador, os seguintes são auditados: Trabalho criado. Trabalho excluído. Trabalho habilitado. Trabalho desabilitado. Trabalho atualizado. Para objetos COM+, o seguinte é auditado: objeto catalog adicionado. Objeto catalogado atualizado. Objeto de catálogo excluído.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Outros Eventos de Acesso a Objetos |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditRegistry
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
Essa configuração de política permite que você audite as tentativas de acessar objetos do Registro. Um evento de auditoria de segurança é gerado apenas para objetos que têm SACLs (listas de controle de acesso do sistema) especificadas e somente se o tipo de acesso solicitado, como Leitura, Gravação ou Modificação, e a conta que faz a solicitação corresponder às configurações no SACL.
Se você configurar essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessa um objeto do Registro com um SACL correspondente. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessa um objeto de registro com um SACL correspondente.
Observação
Você pode definir um SACL em um objeto de registro usando a caixa de diálogo Permissões.
Volume: depende de como os SACLs do registro são configurados.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Registro |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditRemovableStorage
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
Essa configuração de política permite que você audite as tentativas do usuário de acessar objetos do sistema de arquivos em um dispositivo de armazenamento removível. Um evento de auditoria de segurança é gerado apenas para todos os objetos para todos os tipos de acesso solicitados.
Se você configurar essa configuração de política, um evento de auditoria será gerado sempre que uma conta acessa um objeto do sistema de arquivos em um armazenamento removível. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma conta acessa um objeto do sistema de arquivos em um armazenamento removível.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do armazenamento removível |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
ObjectAccess_AuditSAM
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
Essa configuração de política permite auditar eventos gerados por tentativas de acesso a objetos SAM (Gerenciador de Contas de Segurança). Os objetos SAM incluem o seguinte: SAM_ALIAS -- um grupo local. SAM_GROUP um grupo que não é um grupo local. SAM_USER – Uma conta de usuário. SAM_DOMAIN – Um domínio. SAM_SERVER – Uma conta de computador.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de acessar um objeto kernel é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma tentativa de acessar um objeto kernel é feita.
Observação
Somente o SACL (System Controle de Acesso List) para SAM_SERVER pode ser modificado. Volume: alto em controladores de domínio.
Volume: alto em controladores de domínio. Para obter mais informações sobre como reduzir o número de eventos gerados pela auditoria do acesso de objetos do sistema global, consulte Auditar o acesso de objetos do sistema global.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de SAM |
Caminho | Configurações do Windows Configurações > de segurança Configurações avançadas > de política > de auditoria políticas > de auditoria do sistema de auditoria acesso de objeto |
PolicyChange_AuditAuthenticationPolicyChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
Essa configuração de política permite que você audite eventos gerados por alterações na política de autenticação, como o seguinte: Criação de confianças de floresta e domínio. Modificação de confianças de floresta e domínio. Remoção de confianças de floresta e domínio. Alterações na política Kerberos em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Políticas de Kerberos. Concessão de qualquer um dos seguintes direitos de usuário para um usuário ou grupo: Acesse este computador da rede. Permitir Logon localmente. Permitir logon por meio dos Serviços de Terminal. Logon como um trabalho em lote. Logon de um serviço. Colisão de namespace. Por exemplo, quando uma nova confiança tem o mesmo nome de um nome de namespace existente.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar a política de autenticação é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando a política de autenticação for alterada.
Observação
O evento de auditoria de segurança é registrado quando a política de grupo é aplicada. Ela não ocorre no momento em que as configurações são modificadas.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Alteração de Políticas de Autenticação |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PolicyChange_AuditAuthorizationPolicyChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
Essa configuração de política permite auditar eventos gerados por alterações na política de autorização, como a seguinte: Atribuição de direitos de usuário (privilégios), como SeCreateTokenPrivilege, que não são auditados por meio da subcategoria "Alteração da Política de Autenticação". Remoção de direitos de usuário (privilégios), como SeCreateTokenPrivilege, que não são auditados por meio da subcategoria "Alteração da Política de Autenticação". Alterações na política EFS (Sistema de Arquivos Criptografados). Alterações nos atributos de recurso de um objeto. Alterações na CAP (Política de Acesso Central) aplicadas a um objeto.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa de alterar a política de autorização é feita. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando a política de autorização for alterada.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Alteração de Políticas de Autorização |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PolicyChange_AuditFilteringPlatformPolicyChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
Essa configuração de política permite auditar eventos gerados por alterações no WFP (Plataforma de Filtragem do Windows), como o seguinte: serviços IPsec status. Alterações nas configurações de política IPsec. Alterações nas configurações de política do Firewall do Windows. Alterações nos provedores e no mecanismo do WFP.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma alteração no WFP é tentada. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando ocorre uma alteração no WFP.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Alteração na Política da Plataforma de Filtragem |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
Essa configuração de política permite auditar eventos gerados por alterações nas regras de política usadas pelo MPSSVC (Serviço de Proteção da Microsoft). Esse serviço é usado pelo Firewall do Windows. Os eventos incluem o seguinte: Relatório de políticas ativas quando o serviço firewall do Windows é iniciado. Alterações nas regras do Firewall do Windows. Alterações na lista de exceções do Firewall do Windows. Alterações nas configurações do Firewall do Windows. Regras ignoradas ou não aplicadas pelo Serviço de Firewall do Windows. Alterações nas configurações de Política de Grupo do Firewall do Windows.
Se você configurar essa configuração de política, um evento de auditoria será gerado por tentativas de alterar as regras de política usadas pelo MPSSVC. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado por alterações nas regras de política usadas pelo MPSSVC.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditar a alteração da política de nível de regra do MPSSVC |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PolicyChange_AuditOtherPolicyChangeEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
Essa configuração de política permite auditar eventos gerados por outras alterações de política de segurança que não são auditadas na categoria de alteração de política, como o seguinte: alterações de configuração do TPM (Trusted Platform Module). Auto-testes criptográficos no modo kernel. Operações de provedor criptográfico. Operações de contexto criptográfico ou modificações. Alterações de CAPs (Políticas de Acesso Central Aplicadas). Modificações de BCD (Dados de Configuração de Inicialização).
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Outros Eventos de Alteração de Políticas |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PolicyChange_AuditPolicyChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
Essa configuração de política permite que você audite as alterações nas configurações da política de auditoria de segurança, como o seguinte: Configurações de permissões e configurações de auditoria no objeto Audit Policy. Alterações na política de auditoria do sistema. Registro de fontes de evento de segurança. Desativar o registro de fontes de evento de segurança. Alterações nas configurações de auditoria por usuário. Alterações no valor de CrashOnAuditFail. Alterações na lista de controle de acesso do sistema em um sistema de arquivos ou objeto de registro. Alterações na lista Grupos Especiais.
Observação
A auditoria de alteração da SACL (lista de controle de acesso do sistema) é feita quando um SACL para um objeto é alterado e a categoria de alteração de política está habilitada. A DACL (lista de controle de acesso discricionário) e as alterações de propriedade são auditadas quando a auditoria de acesso ao objeto está habilitada e o SACL do objeto é configurado para auditoria da alteração DACL/Proprietário.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Alteração da política de auditoria |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria Políticas de auditoria políticas > de política |
PrivilegeUse_AuditNonSensitivePrivilegeUse
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
Essa configuração de política permite auditar eventos gerados pelo uso de privilégios não confidenciais (direitos do usuário). Os seguintes privilégios não são confidenciais: Acessar o Gerenciador de Credenciais como um chamador confiável. Acesse este computador por meio da rede. Adicione estações de trabalho ao domínio. Ajuste as cotas de memória para um processo. Permitir logon localmente. Permitir logon por meio dos Serviços de Terminal. Ignorar a verificação de passagem. Altere a hora do sistema. Crie um arquivo de página. Crie objetos globais. Crie objetos compartilhados permanentes. Crie links simbólicos. Negar acesso a esse computador por meio da rede. Negar logon como um trabalho em lote. Negar logon como um serviço. Negar logon localmente. Negar logon por meio dos Serviços de Terminal. Forçar o desligamento de um sistema remoto. Aumente um conjunto de trabalho de processo. Aumentar a prioridade de agendamento. Bloquear páginas na memória. Faça logon como um trabalho em lote. Faça logon como um serviço. Modifique um rótulo de objeto. Execute tarefas de manutenção de volume. Processo único de perfil. Desempenho do sistema de perfil. Remova o computador da estação de encaixe. Desligue o sistema. Sincronizar dados do serviço de diretório.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando um privilégio não confidencial é chamado. Auditorias de sucesso registram chamadas bem-sucedidas e auditorias de falha registram chamadas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando um privilégio não confidencial é chamado.
Volume: muito alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Uso de Privilégio Não Importante |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria políticas > de auditoria uso de privilégio |
PrivilegeUse_AuditOtherPrivilegeUseEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
Não usado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de outros eventos de uso de privilégios |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria políticas > de auditoria uso de privilégio |
PrivilegeUse_AuditSensitivePrivilegeUse
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
Essa configuração de política permite que você audite eventos gerados quando privilégios confidenciais (direitos do usuário) são usados, como o seguinte: um serviço privilegiado é chamado. Um dos seguintes privilégios são chamados: agir como parte do sistema operacional. Faça backup de arquivos e diretórios. Crie um objeto de token. Depurar programas. Permitir que contas de computador e usuário sejam confiáveis para delegação. Gerar auditorias de segurança. Represente um cliente após a autenticação. Carregar e descarregar drivers de dispositivo. Gerenciar log de auditoria e segurança. Modifique valores de ambiente de firmware. Substitua um token no nível do processo. Restaurar arquivos e diretórios. Assuma a propriedade de arquivos ou outros objetos.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando solicitações de privilégio confidenciais são feitas. Auditorias de sucesso registram solicitações bem-sucedidas e auditorias de falha registram solicitações malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando solicitações de privilégios confidenciais são feitas.
Volume: Alto.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Uso de Privilégio Importante |
Caminho | Configurações do Windows Configurações > de segurança Política avançada > de configuração > de política de auditoria políticas > de auditoria uso de privilégio |
System_AuditIPsecDriver
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
Essa configuração de política permite auditar eventos gerados pelo driver de filtro IPsec, como o seguinte: Inicialização e desligamento dos serviços IPsec. Os pacotes de rede foram removidos devido à falha de integridade marcar. Os pacotes de rede foram removidos devido à falha de marcar de reprodução. Os pacotes de rede foram removidos devido à exclusão de texto. Pacotes de rede recebidos com SPI (Índice de Parâmetro de Segurança) incorreto. Isso pode indicar que o cartão de rede não está funcionando corretamente ou o driver precisa ser atualizado. Incapacidade de processar filtros IPsec.
Se você configurar essa configuração de política, um evento de auditoria será gerado em uma operação de driver de filtro IPsec. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado em uma operação de driver de filtro IPSec.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria do driver IPsec |
Caminho | Sistema de políticas >> de auditoria do sistema de configuração de política de > auditoria avançada configurações de configuração > do Windows |
System_AuditOtherSystemEvents
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
Essa configuração de política permite que você audite qualquer um dos seguintes eventos: Inicialização e desligamento do serviço e driver do Firewall do Windows. Processamento de política de segurança pelo Serviço de Firewall do Windows. Operações de migração e arquivo de chave de criptografia.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 3 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 (Padrão) | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de outros eventos do sistema |
Caminho | Sistema de políticas >> de auditoria do sistema de configuração de política de > auditoria avançada configurações de configuração > do Windows |
System_AuditSecurityStateChange
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
Essa configuração de política permite auditar eventos gerados por alterações no estado de segurança do computador, como os seguintes eventos: Inicialização e desligamento do computador. Alteração do tempo do sistema. Recuperando o sistema de CrashOnAuditFail, que é registrado após uma reinicialização do sistema quando o log de eventos de segurança está cheio e a entrada do registro CrashOnAuditFail é configurada.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 (Padrão) | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Alteração no Estado de Segurança |
Caminho | Sistema de políticas >> de auditoria do sistema de configuração de política de > auditoria avançada configurações de configuração > do Windows |
System_AuditSecuritySystemExtension
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
Essa configuração de política permite auditar eventos relacionados a extensões ou serviços do sistema de segurança, como o seguinte: uma extensão do sistema de segurança, como um pacote de autenticação, notificação ou segurança, é carregada e está registrada na LSA (Autoridade de Segurança Local). Ele é usado para autenticar tentativas de logon, enviar solicitações de logon e quaisquer alterações de conta ou senha. Exemplos de extensões do sistema de segurança são Kerberos e NTLM. Um serviço é instalado e registrado no Service Control Manager. O log de auditoria contém informações sobre o nome do serviço, binário, tipo, tipo de início e conta de serviço.
Se você configurar essa configuração de política, um evento de auditoria será gerado quando uma tentativa é feita para carregar uma extensão do sistema de segurança. Auditorias de sucesso registram tentativas bem-sucedidas e auditorias de falha registram tentativas malsucedidas.
Se você não configurar essa configuração de política, nenhum evento de auditoria será gerado quando uma tentativa é feita para carregar uma extensão do sistema de segurança.
Volume: baixo. Eventos de extensão do sistema de segurança são gerados com mais frequência em um controlador de domínio do que em computadores cliente ou servidores membros.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria de Extensão do Sistema de Segurança |
Caminho | Sistema de políticas >> de auditoria do sistema de configuração de política de > auditoria avançada configurações de configuração > do Windows |
System_AuditSystemIntegrity
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134.1039] e posterior ✅Windows 10, versão 1809 [10.0.17763.774] e posterior ✅Windows 10, versão 1903 [10.0.18362.329] e posterior ✅Windows 10, versão 2004 [10.0.19041] e posterior |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
Essa configuração de política permite auditar eventos que violam a integridade do subsistema de segurança, como o seguinte: Eventos que não puderam ser gravados no log de eventos devido a um problema com o sistema de auditoria. Um processo que usa uma porta LPC (chamada de procedimento local) que não é válida na tentativa de representar um cliente respondendo, lendo ou escrevendo para ou de um espaço de endereço do cliente. A detecção de uma RPC (Chamada de Procedimento Remoto) que compromete a integridade do sistema. A detecção de um valor de hash de um arquivo executável que não é válido conforme determinado pela Integridade do Código. Operações criptográficas que comprometem a integridade do sistema.
Volume: baixo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 3 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Off/None. |
1 | Sucesso. |
2 | Falha. |
3 (Padrão) | Êxito+Falha. |
Mapeamento de política de grupo:
Nome | Valor |
---|---|
Nome | Auditoria da integridade do sistema |
Caminho | Sistema de políticas >> de auditoria do sistema de configuração de política de > auditoria avançada configurações de configuração > do Windows |
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de