审核特权使用
确定是否要审核用户行使用户权限的每个实例。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核此类型事件。在行使用户权限成功时,成功审核会生成一个审核项。在行使用户权限失败时,失败审核会生成一个审核项。
若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”****复选框。
**默认值:**无审核。
不会为使用以下用户权限生成审核,即使为“审核特权使用”指定成功审核或失败审核也是如此。启用这些用户权限的审核旨在将多个事件生成到安全日志中,这可能会影响计算机的性能。若要审核以下用户权限,请启用“FullPrivilegeAuditing”****注册表项。
绕过遍历检查
调试程序
创建令牌对象
替换进程级令牌
生成安全审核
备份文件和目录
还原文件和目录
配置此审核设置
可以配置“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的此安全设置。
| 特权使用事件 | 描述 |
|---|---|
| 576 | 指定的特权已添加到用户的访问令牌。注意 当用户登录时,会生成此事件。
|
| 577 | 用户已尝试执行特权系统服务操作。 |
| 578 | 已在针对受保护的对象打开的句柄上使用特权。 |