POLICY_AUDIT_EVENT_TYPE enumeração (ntsecapi.h)

  • Artigo

A enumeração POLICY_AUDIT_EVENT_TYPE define valores que indicam os tipos de eventos que o sistema pode auditar. As funções LsaQueryInformationPolicy e LsaSetInformationPolicy usam essa enumeração quando seus parâmetros InformationClass são definidos como PolicyAuditEventsInformation.

Syntax

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Constantes

 
AuditCategorySystem
Valor: 0
Determina se o sistema operacional deve auditar qualquer uma das seguintes tentativas:


  • Tentativa de alteração de tempo do sistema.

  • Tentativa de inicialização, reinicialização ou desligamento do sistema de segurança.

  • Tente carregar recursos de autenticação extensíveis.

  • Perda de eventos auditados devido à falha do sistema de auditoria.

  • Tamanho do log de segurança que excede um nível de limite de aviso configurável.
AuditCategoryLogon
Determina se o sistema operacional deve auditar sempre que este computador validar as credenciais de uma conta. Eventos de logon de conta são gerados sempre que um computador valida as credenciais de uma de suas contas locais. A validação de credenciais pode ser compatível com um logon local ou, no caso de uma conta de domínio do Active Directory em um controlador de domínio, pode ser compatível com um logon em outro computador. Os eventos auditados para contas locais devem ser registrados no log de segurança local do computador. O logoff da conta não gera um evento que pode ser auditado.
AuditCategoryObjectAccess
Determina se o sistema operacional deve auditar cada instância do usuário que tenta acessar um objeto não Active Directory, como um arquivo, que tem sua própria SACL (lista de controle de acesso do sistema) especificada. O tipo de solicitação de acesso, como Gravação, Leitura ou Modificação, e a conta que está fazendo a solicitação devem corresponder às configurações na SACL.
AuditCategoryPrivilegeUse
Determina se o sistema operacional deve auditar cada instância do usuário que tenta usar privilégios.
AuditCategoryDetailedTracking
Determina se o sistema operacional deve auditar eventos específicos, como ativação de programa, algumas formas de duplicação de identificador, acesso indireto a um objeto e saída do processo.
AuditCategoryPolicyChange
Determina se o sistema operacional deve auditar tentativas de alterar as regras de objeto de política , como política de atribuição de direitos de usuário, política de auditoria, política de conta ou política de confiança.
AuditCategoryAccountManagement
Determina se o sistema operacional deve auditar tentativas de criar, excluir ou alterar contas de usuário ou grupo. Além disso, audite as alterações de senha.
AuditCategoryDirectoryServiceAccess
Determina se o sistema operacional deve auditar tentativas de acessar o serviço de diretório. O objeto do Active Directory tem sua própria SACL especificada. O tipo de solicitação de acesso, como Gravação, Leitura ou Modificação, e a conta que está fazendo a solicitação devem corresponder às configurações na SACL.
AuditCategoryAccountLogon
Determina se o sistema operacional deve auditar cada instância de uma tentativa do usuário de fazer logon ou fazer logoff deste computador. Também audita tentativas de logon por contas privilegiadas que fazem logon no controlador de domínio. Esses eventos de auditoria são gerados quando o KDC ( Centro de Distribuição de Chaves ) Kerberos faz logon no controlador de domínio. As tentativas de logoff são geradas sempre que a sessão de logon de uma conta de usuário conectada é encerrada.

Comentários

A enumeração POLICY_AUDIT_EVENT_TYPE pode se expandir em versões futuras do Windows. Por isso, você não deve calcular o número de valores nesta enumeração diretamente. Em vez disso, você deve obter a contagem de valores chamando LsaQueryInformationPolicy com o parâmetro InformationClass definido como PolicyAuditEventsInformation e extrair a contagem do membro MaximumAuditEventCount da estrutura de POLICY_AUDIT_EVENTS_INFO retornada.

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows XP [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows Server 2003 [somente aplicativos da área de trabalho]
Cabeçalho ntsecapi.h

Confira também

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS