启用代码完整性事件日志记录和系统审核
代码完整性事件日志记录和系统审核摘录:
代码完整性是实现驱动程序签名验证的内核模式组件。 它生成与图像验证相关的系统事件,并记录代码完整性日志中的信息:
代码完整性操作日志视图仅显示图像验证错误事件。
代码完整性详细日志视图显示成功签名验证的事件。
以下过程演示如何启用代码完整性详细事件日志记录,以查看所有成功的操作系统加载程序和内核模式映像验证事件:
启用代码完整性详细事件日志记录
启用系统事件日志的摘录:
要启用详细日志记录,请按照以下步骤操作:
打开提升的命令提示符窗口。
在命令行中运行 Eventvwr.exe。
在事件查看器左侧窗格的 Event Viewer文件夹下,展开以下子文件夹序列:
应用程序和服务日志
Microsoft
Windows
展开 Windows 文件夹下的 Code Integrity 子文件夹以显示其上下文菜单。
选择“视图”。
选择显示分析和调试日志。 然后,事件查看器将显示一个子树,其中包含一个 Operational 文件夹和一个 Verbose 文件夹。
右键单击“详细”,然后从弹出上下文菜单中选择“属性”。
在“属性”对话框中选择“常规”选项卡,然后选择属性页中间附近的“启用日志记录”选项。 这将启用详细日志记录。
重新启动计算机,让更改生效。
还可以启用系统事件记录,其中包括代码完整性映像验证失败事件。 当 Windows 内核因签名失败而无法加载驱动程序时,将生成这些事件。 代码完整性操作事件日志视图中也会记录类似的事件
启用审核策略以在系统类别中为失败的操作生成审核事件
要启用安全审核策略以在审计日志中捕获加载故障,请按照以下步骤操作:
打开提升的命令提示符窗口。 若要打开提升的命令提示符窗口,请创建桌面快捷方式以 Cmd.exe,右键单击 Cmd.exe 快捷方式,然后选择“ 以管理员身份运行”。
在提升的命令提示符窗口中运行以下命令:
Auditpol /set /Category:System /failure:enable重新启动计算机,让更改生效。
以下屏幕截图显示了如何使用 Auditpol 启用安全审核。
