审核句柄操作
面向 IT 专业人员的本主题介绍高级安全审核策略设置“审核句柄操作”,此策略设置确定操作系统是否在打开或关闭对象的句柄时生成审核事件。
仅配置了系统访问控制列表 (SACL) 的对象才会生成这些事件,而且尝试的句柄操作必须与 SACL 匹配。
要点
仅针对启用了相应文件系统或注册表对象访问子类别的对象类,才会生成句柄操作事件。有关详细信息,请参阅审核文件系统或审核注册表。
事件量:高,具体取决于如何配置 SACL。
默认值:未配置
4656 |
已请求对象的句柄。 |
4658 |
对象的句柄已关闭。 |
4690 |
已尝试将句柄复制到对象。 |
相关主题
高级安全审核策略设置