审核进程跟踪
确定是否要审核诸如程序激活、进程退出、句柄复制和间接对象访问等事件的详细跟踪信息。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核事件类型。在跟踪进程成功时,成功审核会生成一个审核项。在跟踪进程失败时,失败审核会生成一个审核项。
若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”和“失败”****复选框。
**默认值:**无审核。
配置此安全设置
可以配置“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的此安全设置。
| 进程跟踪事件 | 描述 |
|---|---|
| 592 | 新进程已创建。 |
| 593 | 进程已退出。 |
| 594 | 对象的句柄已复制。 |
| 595 | 对对象的间接访问已获取。 |
| 596 | 数据保护主密钥已备份。注意 主密钥由 CryptProtectData 和 CryptUnprotectData 例程以及加密文件系统 (EFS) 使用。每当创建一个新的主密钥,就会对它进行备份。(默认设置为 90 天。)通常将密钥备份到域控制器。
|
| 597 | 数据保护主密钥已从恢复服务器中恢复。 |
| 598 | 可审核的数据已受到保护。 |
| 599 | 可审核的数据未受到保护。 |
| 600 | 进程已分配主令牌。 |
| 601 | 用户已尝试安装服务。 |
| 602 | 计划程序作业已创建。 |