策略 CSP - 审核

AccountLogon_AuditCredentialValidation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation

此策略设置允许审核用户帐户登录凭据的验证测试生成的事件。 此子类别中的事件仅发生在对这些凭据具有权威的计算机上。 对于域帐户,域控制器是权威的。 对于本地帐户,本地计算机是权威的。

卷:域控制器上的高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核凭据验证
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户登录

AccountLogon_AuditKerberosAuthenticationService

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService

此策略设置允许审核 Kerberos 身份验证票证授予票证生成的事件, (TGT) 请求。

  • 如果配置此策略设置,则会在 Kerberos 身份验证 TGT 请求后生成审核事件。 成功审核记录成功的请求,失败审核记录不成功的请求。

  • 如果未配置此策略设置,则 Kerberos 身份验证 TGT 请求后不会生成审核事件。

卷:Kerberos 密钥分发中心服务器上的高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 Kerberos 身份验证服务
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户登录

AccountLogon_AuditKerberosServiceTicketOperations

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations

此策略设置允许审核 Kerberos 身份验证票证授予票证生成的事件, (TGT) 为用户帐户提交的请求。

  • 如果配置此策略设置,则会在为用户帐户请求 Kerberos 身份验证 TGT 后生成审核事件。 成功审核记录成功的请求,失败审核记录不成功的请求。

  • 如果未配置此策略设置,则不会在 Kerberos 身份验证 TGT 请求用户帐户后生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 Kerberos 服务票证操作
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户登录

AccountLogon_AuditOtherAccountLogonEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents

通过此策略设置,可以审核针对用户帐户登录(不是凭据验证或 Kerberos 票证)提交的凭据请求的响应生成的事件。 目前,此子类别中没有事件。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他帐户登录事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户登录

AccountLogonLogoff_AuditAccountLockout

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout

此策略设置允许审核因尝试登录被锁定的帐户失败而生成的事件。如果配置此策略设置,当帐户因帐户被锁定而无法登录到计算机时,将生成审核事件。成功审核记录成功的尝试,失败审核记录不成功的尝试。 登录事件对于了解用户活动和检测潜在攻击至关重要。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核帐户锁定
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditGroupMembership

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership

此策略允许审核用户的登录令牌中的组成员身份信息。 此子类别中的事件是在创建登录会话的计算机上生成的。 对于交互式登录,会在用户登录的计算机上生成安全审核事件。 对于网络登录(例如访问网络上的共享文件夹),会在托管资源的计算机上生成安全审核事件。 在配置此设置时,每次成功登录会生成一项或多项安全审核事件。 还必须在“高级审核策略配置\系统审核策略\登录/注销”下启用“审核登录”设置。 如果组成员身份信息无法容纳于单个安全审核事件中,将会生成多个事件。

卷:客户端计算机上的低。 域控制器或网络服务器上的中等。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核组成员身份
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditIPsecExtendedMode

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode

通过此策略设置,可以在扩展模式协商期间审核 Internet 密钥交换协议 (IKE) 和经过身份验证的 Internet 协议 (AuthIP) 生成的事件。

  • 如果配置此策略设置,则会在 IPsec 扩展模式协商期间生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则 IPsec 扩展模式协商期间不会生成审核事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 IPsec 扩展模式
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditIPsecMainMode

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode

通过此策略设置,可以在主模式协商期间审核 Internet 密钥交换协议 (IKE) 和经过身份验证的 Internet 协议 (AuthIP) 生成的事件。

  • 如果配置此策略设置,则会在 IPsec 主模式协商期间生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则 IPsec 主模式协商期间不会生成审核事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 IPsec 主模式
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditIPsecQuickMode

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode

通过此策略设置,可以在快速模式协商期间审核 Internet 密钥交换协议 (IKE) 和经过身份验证的 Internet 协议 (AuthIP) 生成的事件。 如果配置此策略设置,则会在 IPsec 快速模式协商期间生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。 如果未配置此策略设置,则 IPsec 快速模式协商期间不会生成审核事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 IPsec 快速模式
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditLogoff

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff

此策略设置允许审核登录会话关闭时生成的事件。 这些事件发生在已访问的计算机上。 对于交互式注销,会在用户帐户登录的计算机上生成安全审核事件。

  • 如果配置此策略设置,则登录会话关闭时将生成审核事件。 成功审核记录关闭会话的成功尝试,失败审核记录关闭会话的失败尝试。

  • 如果未配置此策略设置,则登录会话关闭时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核注销
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditLogon

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon

此策略设置允许审核计算机上用户帐户登录尝试生成的事件。 此子类别中的事件与登录会话的创建相关,并且发生在已访问的计算机上。 对于交互式登录,会在用户帐户登录的计算机上生成安全审核事件。 对于网络登录(例如访问网络上的共享文件夹),会在托管资源的计算机上生成安全审核事件。 包括以下事件:成功登录尝试。 登录尝试失败。 使用显式凭据进行登录尝试。 当进程尝试通过显式指定该帐户的凭据登录帐户时,会生成此事件。 这最常发生在批量登录配置中,例如计划任务或使用 RUNAS 命令时。 ) SID (安全标识符已筛选,不允许登录。

卷:客户端计算机上的低。 域控制器或网络服务器上的中等。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核登录
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditNetworkPolicyServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer

通过此策略设置,可以审核 RADIUS (IAS) 生成的事件和网络访问保护 (NAP) 用户访问请求。 这些请求可以是“授予”、“拒绝”、“放弃”、“隔离”、“锁定”和“解锁”。

  • 如果配置此策略设置,则会为每个 IAS 和 NAP 用户访问请求生成审核事件。 成功审核记录成功的用户访问请求,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则不会审核 IAS 和 NAP 用户访问请求。

卷:NPS 和 IAS 服务器上的“中”或“高”。 其他计算机上没有卷。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 3

允许的值:

说明
0 Off/None。
1 成功。
2 失败。
3 (默认) 成功+失败。

组策略映射:

名称
名称 审核网络策略服务器
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditOtherLogonLogoffEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents

此策略设置允许审核“登录/注销”策略设置中未涵盖的其他与登录/注销相关的事件,如下所示:终端服务会话断开连接。 新的终端服务会话。 锁定和解锁工作站。 调用屏幕保护程序。 关闭屏幕保护程序。 检测到 Kerberos 重播攻击,其中收到两次具有相同信息的 Kerberos 请求。 这种情况可能是由网络配置错误引起的。 对授予用户或计算机帐户的无线网络的访问权限。 访问授予用户或计算机帐户的有线 802.1x 网络。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他登录注销事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditSpecialLogon

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon

此策略设置允许审核由特殊登录生成的事件,如下所示:使用特殊登录,该登录是具有管理员等效权限的登录,可用于将进程提升到更高级别。 由特殊组的成员登录。 使用特殊组可以审核特定组的成员登录到网络时生成的事件。 可以在注册表中配置组安全标识符列表 (SID) 。 如果在登录期间将这些 SID 中的任何一个添加到令牌中,并且启用了子类别,则会记录事件。 有关此功能的详细信息,请参阅 Microsoft知识库中的文章947223

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核特殊登录
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountLogonLogoff_AuditUserDeviceClaims

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims

此策略允许审核用户登录令牌中的用户和设备声明信息。 此子类别中的事件是在创建登录会话的计算机上生成的。 对于交互式登录,会在用户登录的计算机上生成安全审核事件。 对于网络登录(例如访问网络上的共享文件夹),会在托管资源的计算机上生成安全审核事件。 当声明包含在 Active Directory 中的用户帐户属性中时,用户声明将添加到登录令牌中。 当声明包含在 Active Directory 中的设备计算机帐户属性中时,设备声明将添加到登录令牌中。 此外,必须在域和用户登录的计算机上启用复合标识。 在配置此设置时,每次成功登录会生成一项或多项安全审核事件。 还必须在“高级审核策略配置\系统审核策略\登录/注销”下启用“审核登录”设置。 如果用户和设备声明信息不适合单个安全审核事件,将生成多个事件。

卷:客户端计算机上的低。 域控制器或网络服务器上的中等。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核用户设备声明
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 登录/注销

AccountManagement_AuditApplicationGroupManagement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement

此策略设置允许审核应用程序组更改生成的事件,如下所示:创建、更改或删除应用程序组。 成员是从应用程序组添加或删除的。

  • 如果配置此策略设置,则会在尝试更改应用程序组时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则应用程序组更改时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核应用程序组管理
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

AccountManagement_AuditComputerAccountManagement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement

此策略设置允许审核由计算机帐户更改生成的事件,例如创建、更改或删除计算机帐户的时间。

  • 如果配置此策略设置,则会在尝试更改计算机帐户时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则计算机帐户更改时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核计算机帐户管理
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

AccountManagement_AuditDistributionGroupManagement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement

此策略设置允许审核对通讯组的更改生成的事件,如下所示:已创建、更改或删除通讯组。 成员是从通讯组添加或删除的。 通讯组类型已更改。

  • 如果配置此策略设置,则会在尝试更改通讯组时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则通讯组更改时不会生成审核事件。

注意

此子类别中的事件仅记录在域控制器上。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核通讯组管理
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

AccountManagement_AuditOtherAccountManagementEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents

此策略设置允许审核此类别未涵盖的其他用户帐户更改生成的事件,例如:已访问用户帐户的密码哈希。 这通常在 Active Directory 管理工具密码迁移期间发生。 已调用密码策略检查 API。 当恶意应用程序测试策略以减少密码字典攻击期间的尝试次数时,调用此函数可能是攻击的一部分。 对以下组策略路径下默认域组策略的更改:计算机配置\Windows 设置\安全设置\帐户策略\密码策略计算机配置\Windows 设置\安全设置\帐户策略\帐户锁定策略。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他帐户管理事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

AccountManagement_AuditSecurityGroupManagement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement

此策略设置允许审核对安全组的更改生成的事件,如下所示:创建、更改或删除安全组。 成员是从安全组添加或删除的。 组类型已更改。

  • 如果配置此策略设置,则会在尝试更改安全组时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则安全组更改时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核安全组管理
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

AccountManagement_AuditUserAccountManagement

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement

此策略设置允许审核对用户帐户的更改。 事件包括:创建、更改、删除用户帐户;重命名、禁用、启用、锁定或解锁。 用户帐户的密码已设置或更改。 (SID) 的安全标识符将添加到用户帐户的 SID 历史记录中。 已配置目录服务还原模式密码。 管理用户帐户的权限已更改。 备份或还原凭据管理器凭据。

  • 如果配置此策略设置,则会在尝试更改用户帐户时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则用户帐户更改时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核用户帐户管理
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 帐户管理

DetailedTracking_AuditDPAPIActivity

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity

此策略设置允许审核向数据保护应用程序接口发出加密或解密请求时生成的事件, (DPAPI) 。 DPAPI 用于保护机密信息,例如存储的密码和密钥信息。 有关 DPAPI 的详细信息,请参阅 如何使用数据保护

  • 如果配置此策略设置,则会在向 DPAPI 发出加密或解密请求时生成审核事件。 成功审核记录成功的请求,失败审核记录不成功的请求。

  • 如果未配置此策略设置,则不会在向 DPAPI 发出加密或解密请求时生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 DPAPI 活动
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DetailedTracking_AuditPNPActivity

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity

使用此策略设置,可以在即插即用检测到外部设备时进行审核。

  • 如果配置此策略设置,每当即插即用检测到外部设备时,都会生成审核事件。 对于此类别,仅记录“成功”审核。

  • 如果未配置此策略设置,则在即插即用检测到外部设备时,将不会生成任何审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 PNP 活动
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DetailedTracking_AuditProcessCreation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation

此策略设置允许审核创建或启动进程时生成的事件。 还会审核创建该过程的应用程序或用户的名称。

  • 如果配置此策略设置,则会在创建进程时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则创建进程时不会生成审核事件。

卷:取决于计算机的使用方式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核进程创建
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DetailedTracking_AuditProcessTermination

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination

此策略设置允许审核进程结束时生成的事件。

  • 如果配置此策略设置,则会在进程结束时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则进程结束时不会生成审核事件。

卷:取决于计算机的使用方式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核进程终止
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DetailedTracking_AuditRPCEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents

此策略设置允许审核入站远程过程调用 (RPC) 连接。

  • 如果配置此策略设置,则尝试远程 RPC 连接时将生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则尝试远程 RPC 连接时不会生成审核事件。

卷:RPC 服务器上的高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 RPC 事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DetailedTracking_AuditTokenRightAdjusted

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted

通过此策略设置,可以审核通过调整令牌的权限生成的事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核令牌权限已调整
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 详细跟踪

DSAccess_AuditDetailedDirectoryServiceReplication

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication

此策略设置允许审核由详细 Active Directory 域服务生成的事件 (AD DS) 域控制器之间的复制。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核详细的目录服务复制
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > DS 访问

DSAccess_AuditDirectoryServiceAccess

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess

此策略设置允许审核在访问 Active Directory 域服务 (AD DS) 对象时生成的事件。 仅记录具有匹配系统访问控制列表 (SACL) 的 AD DS 对象。 此子类别中的事件类似于早期版本的 Windows 中可用的目录服务访问事件。

卷:域控制器上的高。 客户端计算机上无。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核目录服务访问
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > DS 访问

DSAccess_AuditDirectoryServiceChanges

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges

通过此策略设置,可以审核 Active Directory 域服务 (AD DS) 中的对象更改所生成的事件。 创建、删除、修改、移动或取消删除对象时,将记录事件。 如果可能,在此子类别中记录的事件指示对象属性的旧值和新值。 此子类别中的事件仅在域控制器上记录,并且仅记录 AD DS 中具有匹配系统访问控制列表 (SACL) 的对象。

注意

对某些对象和属性执行的操作不会导致由于架构中对象类的设置而生成审核事件。

  • 如果配置此策略设置,则尝试更改 AD DS 中的对象时,将生成审核事件。 成功审核记录成功的尝试,但不会记录失败的尝试。

  • 如果未配置此策略设置,则尝试更改 AD DS 对象中的对象时,不会生成审核事件。

音量:仅在域控制器上较高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核目录服务更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > DS 访问

DSAccess_AuditDirectoryServiceReplication

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication

此策略设置允许审核两个 Active Directory 域服务 (AD DS) 域控制器之间的复制。

  • 如果配置此策略设置,则会在 AD DS 复制期间生成审核事件。 成功审核记录复制成功,失败审核记录复制失败。

  • 如果未配置此策略设置,则 AD DS 复制期间不会生成审核事件。

卷:域控制器上的中等。 客户端计算机上无。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核目录服务复制
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > DS 访问

ObjectAccess_AuditApplicationGenerated

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated

此策略设置允许你审核使用 Windows Auditing 应用程序编程接口 (API) 生成事件的应用程序。 设计为使用 Windows 审核 API 的应用程序使用此子类别来记录与其功能相关的审核事件。 此子类别中的事件包括:创建应用程序客户端上下文。 删除应用程序客户端上下文。 初始化应用程序客户端上下文。 使用 Windows 审核 API 的其他应用程序操作。

卷:取决于生成它们的应用程序。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核生成的应用程序
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditCentralAccessPolicyStaging

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging

此策略设置允许审核访问请求,其中建议的策略授予或拒绝的权限与对象上的当前中央访问策略不同。 如果配置此策略设置,则每次用户访问对象时都会生成一个审核事件,并且当前中央访问策略对该对象授予的权限不同于建议的策略授予的权限。 生成的审核事件将如下所示:1) 成功审核,配置后,记录当前中央访问策略授予访问权限但建议的策略拒绝访问时的访问尝试。 2) 配置时失败审核记录访问尝试的情况:) 当前中央访问策略不授予访问权限,但建议的策略授予访问权限。 b) 主体请求允许的最大访问权限,并且当前中央访问策略授予的访问权限不同于建议的策略授予的访问权限。 卷:如果建议的策略与当前的中央访问策略存在显著差异,则文件服务器上的可能较高。

卷:如果建议的策略与当前的中央访问策略存在显著差异,则文件服务器上的可能较高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核中心访问策略暂存
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditCertificationServices

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices

此策略设置允许审核 Active Directory 证书服务 (AD CS) 操作。 AD CS 操作包括:AD CS 启动/关闭/备份/还原。 对 CRL) (证书吊销列表的更改。 新的证书请求。 颁发证书。 吊销证书。 对 AD CS 的证书管理器设置的更改。 AD CS 配置中的更改。 对证书服务模板的更改。 导入证书。 将证书颁发机构证书发布到 Active Directory 域服务。 对 AD CS 的安全权限的更改。 密钥的存档。 导入密钥。 检索密钥。 启动联机证书状态协议 (OCSP) 响应方服务。 停止联机证书状态协议 (OCSP) 响应方服务。

卷:运行 Active Directory 证书服务的计算机上的“中等”或“低”。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核认证服务
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditDetailedFileShare

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare

使用此策略设置,可以审核访问共享文件夹上的文件和文件夹的尝试。 每次访问文件或文件夹时,“详细文件共享”设置都会记录事件,而“文件共享”设置仅记录在客户端和文件共享之间建立的任何连接的事件。 详细的文件共享审核事件包括有关用于授予或拒绝访问权限的权限或其他条件的详细信息。

  • 如果配置此策略设置,则尝试访问共享上的文件或文件夹时,将生成审核事件。 管理员可以指定是仅审核成功、仅审核失败还是同时审核成功和失败。

注意

共享文件夹) 没有系统访问控制列表 (ACL。

  • 如果启用此策略设置,则会审核对系统上所有共享文件和文件夹的访问。

卷:由于组策略需要 SYSVOL 网络访问,文件服务器或域控制器上的高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核详细的文件共享
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditFileShare

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare

通过此策略设置,可以审核访问共享文件夹的尝试。

  • 如果配置此策略设置,当尝试访问共享文件夹时,将生成审核事件。

  • 如果定义了此策略设置,管理员可以指定是仅审核成功、仅审核失败还是同时审核成功和失败。

注意

共享文件夹) 没有系统访问控制列表 (ACL。

  • 如果启用此策略设置,则会审核对系统上所有共享文件夹的访问。

卷:由于组策略需要 SYSVOL 网络访问,文件服务器或域控制器上的高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核文件共享
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditFileSystem

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem

通过此策略设置,可以审核用户尝试访问文件系统对象。 仅当请求的访问类型(如写入、读取或修改)和发出请求的帐户与 SACL 中的设置匹配时,才会为具有系统访问控制列表 (SACL) 的对象生成安全审核事件。 有关启用对象访问审核的详细信息,请参阅<https://go.microsoft.com/fwlink/?LinkId=122083>

  • 如果配置此策略设置,则每次帐户访问具有匹配 SACL 的文件系统对象时,都会生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则当帐户访问具有匹配 SACL 的文件系统对象时,不会生成审核事件。

注意

可以使用该对象的“属性”对话框中的“安全性”选项卡在文件系统对象上设置 SACL。

卷:取决于文件系统 ACL 的配置方式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核文件系统
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditFilteringPlatformConnection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection

使用此策略设置,可以审核 Windows 筛选平台 (WFP) 允许或阻止的连接。 包括以下事件:Windows 防火墙服务阻止应用程序接受网络上的传入连接。 WFP 允许连接。 WFP 阻止连接。 WFP 允许绑定到本地端口。 WFP 阻止绑定到本地端口。 WFP 允许连接。 WFP 阻止连接。 WFP 允许应用程序或服务侦听端口的传入连接。 WFP 阻止应用程序或服务侦听端口的传入连接。

  • 如果配置此策略设置,则当 WFP 允许或阻止连接时,将生成审核事件。 成功审核记录允许连接时生成的事件,失败审核记录阻止连接时生成的事件。

  • 如果未配置此策略设置,则世界粮食计划署允许或阻止连接时不会生成审核事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核筛选平台连接
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditFilteringPlatformPacketDrop

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop

此策略设置允许审核 Windows 筛选平台 (WFP) 丢弃的数据包。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核筛选平台数据包丢弃
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditHandleManipulation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation

此策略设置允许审核打开或关闭对象句柄时生成的事件。 只有具有匹配系统访问控制列表 (SACL 的对象) 生成安全审核事件。

  • 如果配置此策略设置,则会在操作句柄时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则操作句柄时不会生成审核事件。

注意

此子类别中的事件仅为启用了相应对象访问子类别的对象类型生成事件。 例如,如果启用了文件系统对象访问,则会生成句柄操作安全审核事件。 如果未启用注册表对象访问,则不会生成操作安全审核事件。

卷:取决于配置 ACL 的方式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核句柄操作
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditKernelObject

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject

此策略设置允许审核访问内核(包括互斥体和信号灯)的尝试。 只有具有匹配系统访问控制列表的内核对象 (SACL) 生成安全审核事件。

注意

“审核:审核全局系统对象的访问权限”策略设置控制内核对象的默认 SACL。

卷:如果启用了全局系统对象的审核访问,则为高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核内核对象
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditOtherObjectAccessEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents

使用此策略设置,可以审核由任务计划程序作业或 COM+ 对象管理生成的事件。 对于计划程序作业,将审核以下各项:已创建的作业。 作业已删除。 作业已启用。 作业已禁用。 作业已更新。 对于 COM+ 对象,将审核以下内容:添加了目录对象。 目录对象已更新。 已删除目录对象。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他对象访问事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditRegistry

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry

使用此策略设置,可以审核访问注册表对象的尝试。 仅当请求的访问类型(如读取、写入或修改)以及发出请求的帐户与 SACL 中的设置匹配时,才会为具有系统访问控制列表) (SCL 的对象生成安全审核事件。

  • 如果配置此策略设置,则每次帐户访问具有匹配 SACL 的注册表对象时,都会生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则当帐户访问具有匹配 SACL 的注册表对象时,不会生成审核事件。

注意

可以使用“权限”对话框在注册表对象上设置 SACL。

卷:取决于注册表 ACL 的配置方式。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核注册表
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditRemovableStorage

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage

此策略设置允许审核用户尝试访问可移动存储设备上的文件系统对象。 仅针对请求的所有访问类型的所有对象生成安全审核事件。

  • 如果配置此策略设置,则每次帐户访问可移动存储上的文件系统对象时,都会生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则当帐户访问可移动存储上的文件系统对象时,不会生成审核事件。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核可移动存储
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

ObjectAccess_AuditSAM

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM

使用此策略设置,可以审核尝试访问安全帐户管理器 (SAM) 对象时生成的事件。 SAM 对象包括:SAM_ALIAS -- 本地组。 SAM_GROUP -- 不是本地组的组。 SAM_USER - 用户帐户。 SAM_DOMAIN - 域。 SAM_SERVER - 计算机帐户。

  • 如果配置此策略设置,则尝试访问内核对象时将生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则尝试访问内核对象时不会生成审核事件。

注意

只能修改SAM_SERVER系统访问控制列表 (SACL) 。 卷:域控制器上的高。

卷:域控制器上的高。 有关减少通过审核全局系统对象的访问生成的事件数的详细信息,请参阅 审核全局系统对象的访问

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 SAM
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 对象访问

PolicyChange_AuditAuthenticationPolicyChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange

此策略设置允许审核身份验证策略更改生成的事件,如下所示:创建林和域信任。 修改林和域信任。 删除林和域信任。 在“计算机配置\Windows 设置\安全设置\帐户策略\Kerberos 策略”下对 Kerberos 策略所做的更改。 向用户或组授予以下任何用户权限:从网络访问此计算机。 允许在本地登录。 允许通过终端服务登录。 以批处理作业身份登录。 登录服务。 Namespace冲突。 例如,当新信任与现有命名空间名称相同时。

  • 如果配置此策略设置,则会在尝试更改身份验证策略时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则更改身份验证策略时不会生成审核事件。

注意

应用组策略时,会记录安全审核事件。 在修改设置时不会发生这种情况。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核身份验证策略更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PolicyChange_AuditAuthorizationPolicyChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange

此策略设置允许审核由授权策略更改生成的事件,如下所示:用户权限 (特权的分配) (如 SeCreateTokenPrivilege),这些权限未通过“身份验证策略更改”子类别进行审核。 删除未通过“身份验证策略更改”子类别审核) 的用户权限 (特权,例如 SeCreateTokenPrivilege。 加密文件系统 (EFS) 策略中的更改。 对 对象的 Resource 属性的更改。 对中心访问策略的更改 (CAP) 应用于对象。

  • 如果配置此策略设置,则会在尝试更改授权策略时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则授权策略更改时不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核授权策略更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PolicyChange_AuditFilteringPlatformPolicyChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange

此策略设置允许审核对 Windows 筛选平台 (WFP) 更改生成的事件,如下所示:IPsec 服务状态。 对 IPsec 策略设置的更改。 对 Windows 防火墙策略设置的更改。 对 WFP 提供商和引擎的更改。

  • 如果配置此策略设置,则会在尝试更改 WFP 时生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则不会在 WFP 发生更改时生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核筛选平台策略更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PolicyChange_AuditMPSSVCRuleLevelPolicyChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange

此策略设置允许审核由 Microsoft保护服务 (MPSSVC) 使用的策略规则更改生成的事件。 Windows 防火墙使用此服务。 事件包括:Windows 防火墙服务启动时的活动策略报告。 对 Windows 防火墙规则的更改。 对 Windows 防火墙例外列表的更改。 对 Windows 防火墙设置的更改。 Windows 防火墙服务忽略或未应用的规则。 对 Windows 防火墙组策略设置的更改。

  • 如果配置此策略设置,则尝试更改 MPSSVC 使用的策略规则会生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则 MPSSVC 使用的策略规则更改不会生成审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 MPSSVC 规则级别策略更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PolicyChange_AuditOtherPolicyChangeEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents

此策略设置允许审核其他安全策略更改生成的事件,这些更改未在策略更改类别中审核,例如:受信任的平台模块 (TPM) 配置更改。 内核模式加密自测试。 加密提供程序操作。 加密上下文操作或修改。 应用的中央访问策略 (CAP) 更改。 启动配置数据 (BCD) 修改。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他策略更改事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PolicyChange_AuditPolicyChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange

此策略设置允许审核安全审核策略设置中的更改,如下所示:审核策略对象的设置权限和审核设置。 对系统审核策略的更改。 注册安全事件源。 取消注册安全事件源。 对每用户审核设置的更改。 对 CrashOnAuditFail 的值的更改。 对文件系统或注册表对象上的系统访问控制列表的更改。 对“特殊组”列表的更改。

注意

当对象的 SACL 发生更改并启用策略更改类别时,系统访问控制列表 (SACL) 更改审核。 启用对象访问审核并将对象的 SACL 配置为审核 DACL/所有者更改时,将审核 (DACL) 和所有权更改的任意访问控制列表。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核策略更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 更改

PrivilegeUse_AuditNonSensitivePrivilegeUse

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse

此策略设置允许审核通过使用非敏感权限 (用户权限) 生成的事件。 以下特权不敏感:作为受信任的调用方访问凭据管理器。 从网络访问此计算机。 将工作站添加到域。 调整进程的内存配额。 允许在本地登录。 允许通过终端服务登录。 绕过遍历检查。 更改系统时间。 创建页面文件。 创建全局对象。 创建永久共享对象。 创建符号链接。 拒绝从网络访问此计算机。 拒绝作为批处理作业登录。 拒绝作为服务登录。 拒绝在本地登录。 拒绝通过终端服务登录。 强制从远程系统关闭。 增加进程工作集。 提高计划优先级。 锁定内存中的页。 作为批处理作业登录。 作为服务登录。 修改对象标签。 执行卷维护任务。 分析单个进程。 分析系统性能。 从扩展坞中删除计算机。 关闭系统。 同步目录服务数据。

  • 如果配置此策略设置,则会在调用非敏感特权时生成审核事件。 成功审核记录成功的呼叫,失败审核记录不成功的调用。

  • 如果未配置此策略设置,则调用非敏感权限时不会生成审核事件。

音量:非常高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核非敏感权限使用
路径 Windows 设置 > 安全设置 > 高级审核策略 配置 > 系统审核策略 > 特权使用

PrivilegeUse_AuditOtherPrivilegeUseEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents

未使用。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核其他权限使用事件
路径 Windows 设置 > 安全设置 > 高级审核策略 配置 > 系统审核策略 > 特权使用

PrivilegeUse_AuditSensitivePrivilegeUse

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse

此策略设置允许审核使用敏感权限 (用户权限) 时生成的事件,如下所示:调用特权服务。 以下权限之一称为:作为操作系统的一部分进行操作。 备份文件和目录。 创建令牌对象。 调试程序。 启用受信任的计算机和用户帐户进行委派。 生成安全审核。 身份验证后模拟客户端。 加载和卸载设备驱动程序。 管理审核和安全日志。 修改固件环境值。 替换进程级令牌。 还原文件和目录。 获取文件或其他对象的所有权。

  • 如果配置此策略设置,则会在发出敏感特权请求时生成审核事件。 成功审核记录成功的请求,失败审核记录不成功的请求。

  • 如果未配置此策略设置,则不会在发出敏感特权请求时生成审核事件。

音量:高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核敏感权限使用
路径 Windows 设置 > 安全设置 > 高级审核策略 配置 > 系统审核策略 > 特权使用

System_AuditIPsecDriver

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver

此策略设置允许审核 IPsec 筛选器驱动程序生成的事件,如下所示:启动和关闭 IPsec 服务。 由于完整性检查失败而丢弃的网络数据包。 由于重播检查失败而丢弃的网络数据包。 由于采用纯文本格式而丢弃的网络数据包。 收到的网络数据包的安全参数索引不正确, (SPI) 。 这可能表示网卡无法正常工作或需要更新驱动程序。 无法处理 IPsec 筛选器。

  • 如果配置此策略设置,则会在 IPsec 筛选器驱动程序操作上生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则不会对 IPSec 筛选器驱动程序操作生成任何审核事件。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核 IPsec 驱动程序
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 系统

System_AuditOtherSystemEvents

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents

使用此策略设置,可以审核以下任何事件:Windows 防火墙服务和驱动程序的启动和关闭。 由 Windows 防火墙服务处理的安全策略。 加密密钥文件和迁移操作。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 3

允许的值:

说明
0 Off/None。
1 成功。
2 失败。
3 (默认) 成功+失败。

组策略映射:

名称
名称 审核其他系统事件
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 系统

System_AuditSecurityStateChange

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange

此策略设置允许审核由计算机安全状态更改生成的事件,例如以下事件:计算机的启动和关闭。 更改系统时间。 从 CrashOnAuditFail 中恢复系统,当安全事件日志已满且配置 CrashOnAuditFail 注册表项时,系统重启后会记录该系统。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

说明
0 Off/None。
1 (默认) 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核安全状态更改
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 系统

System_AuditSecuritySystemExtension

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension

通过此策略设置,可以审核与安全系统扩展或服务相关的事件,例如:已加载安全系统扩展(如身份验证、通知或安全包),并将其注册到本地安全机构 (LSA) 。 它用于对登录尝试进行身份验证、提交登录请求以及任何帐户或密码更改。 安全系统扩展的示例包括 Kerberos 和 NTLM。 安装服务并将其注册到服务控制管理器。 审核日志包含有关服务名称、二进制文件、类型、启动类型和服务帐户的信息。

  • 如果配置此策略设置,则尝试加载安全系统扩展时将生成审核事件。 成功审核记录成功的尝试,失败审核记录不成功的尝试。

  • 如果未配置此策略设置,则尝试加载安全系统扩展时不会生成审核事件。

音量:低。 与在客户端计算机或成员服务器上相比,在域控制器上生成安全系统扩展事件的频率更高。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 0

允许的值:

说明
0(默认值) Off/None。
1 成功。
2 失败。
3 成功+失败。

组策略映射:

名称
名称 审核安全系统扩展
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 系统

System_AuditSystemIntegrity

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 1803,KB4516045 [10.0.17134.1039] 及更高版本
✅ Windows 10 版本 1809,KB4516077 [10.0.17763.774] 及更高版本
✅Windows 10 版本 1903,KB4512941 [10.0.18362.329] 及更高版本
✅ Windows 10 版本 2004 [10.0.19041] 及更高版本
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity

此策略设置允许审核违反安全子系统完整性的事件,例如:由于审核系统出现问题而无法写入事件日志的事件。 使用本地过程调用的进程 (LPC) 端口,该端口在尝试通过对客户端地址空间进行答复、读取或写入来模拟客户端时无效。 检测远程过程调用 (RPC) 损害系统完整性。 检测由代码完整性确定的无效可执行文件的哈希值。 损害系统完整性的加密操作。

音量:低。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 3

允许的值:

说明
0 Off/None。
1 成功。
2 失败。
3 (默认) 成功+失败。

组策略映射:

名称
名称 审核系统完整性
路径 Windows 设置 > 安全设置 > 高级审核策略配置 > 系统审核策略 > 系统

策略配置服务提供程序