审核对象访问
确定是否要审核用户访问诸如文件、文件夹、注册表项、打印机等对象(已自行指定系统访问控制列表 (SACL))的事件。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核事件类型。在用户成功访问已指定合适 SACL 的对象时,成功审核会生成一个审核项。在用户尝试访问已指定 SACL 的对象失败时,失败审核会生成一个审核项。
若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”****复选框。
注意 可以使用文件系统对象的“属性”对话框中的“安全”****选项卡对该对象设置一个 SACL。
**默认值:**无审核。
配置此审核设置
可以通过打开“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应策略来配置此安全设置。
对象访问事件 | 描述 |
---|---|
560 | 已向现有对象授予访问权限。 |
562 | 对象的句柄已关闭。 |
563 | 已尝试打开某个对象,以便删除它。注意 当在 Createfile() 中指定 FILE_DELETE_ON_CLOSE 标志时,文件系统将使用此事件。
|
564 | 已删除受保护的对象。 |
565 | 已向现有对象类型授予访问权限。 |
567 | 已使用与句柄相关联的权限。注意 使用某些授予的权限(读取、写入等)创建句柄。使用该句柄时,最多为所使用的每个权限生成一个审核。
|
568 | 已尝试创建指向正在接受审核的文件的硬链接。 |
569 | 授权管理器中的资源管理器已尝试创建客户端上下文。 |
570 | 客户端已尝试访问对象。 注意 将为对象上的每个尝试操作生成一个事件。
|
571 | 客户端上下文已由授权管理器应用程序删除。 |
572 | 管理员管理器已初始化应用程序。 |
772 | 证书管理器已拒绝挂起的证书请求。 |
773 | 证书服务已收到重新提交的证书请求。 |
774 | 证书服务已吊销证书。 |
775 | 证书服务已收到发布证书吊销列表 (CRL) 的请求。 |
776 | 证书服务已发布证书吊销列表 (CRL)。 |
777 | 证书请求扩展已实现。 |
778 | 一个或多个证书请求属性已更改。 |
779 | 证书服务已收到关机请求。 |
780 | 证书服务备份已启动。 |
781 | 证书服务备份已完成 |
782 | 证书服务还原已启动。 |
783 | 证书服务还原已完成。 |
784 | 证书服务已启动。 |
785 | 证书服务已停止。 |
786 | 证书服务的安全权限已更改。 |
787 | 证书服务已检索到存档的密钥。 |
788 | 证书服务已将证书导入到其数据库。 |
789 | 证书服务的审核筛选器已更改。 |
790 | 证书服务已收到证书请求。 |
791 | 证书服务已批准证书请求并颁发证书。 |
792 | 证书服务已拒绝证书请求。 |
793 | 证书服务已将证书请求的状态设置为挂起。 |
794 | 证书服务的证书管理器设置已更改。 |
795 | 证书服务中的配置项已更改。 |
796 | 证书服务的属性已更改。 |
797 | 证书服务已将密钥存档。 |
798 | 证书服务已导入密钥并将其存档。 |
799 | 证书服务已将 CA 证书发布到 Active Directory。 |
800 | 已从证书数据库删除一行或多行。 |
801 | 角色分隔已启用。 |