原則 CSP - 稽核
AccountLogon_AuditCredentialValidation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
此原則設定可讓您稽核用戶帳戶登入認證的驗證測試所產生的事件。 此子類別中的事件只會發生在對這些認證具有權威性的計算機上。 針對網域帳戶,域控制器是授權的。 針對本機帳戶,本機計算機是授權計算機。
磁碟區:域控制器上的高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核認證驗證 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶登入 |
AccountLogon_AuditKerberosAuthenticationService
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
此原則設定可讓您稽核 Kerberos 驗證票證授與票證 (TGT) 要求所產生的事件。
如果您設定此原則設定,則會在 Kerberos 驗證 TGT 要求之後產生稽核事件。 成功稽核會記錄成功的要求,而失敗稽核會記錄失敗的要求。
如果您未設定此原則設定,則 Kerberos 驗證 TGT 要求之後不會產生任何稽核事件。
磁碟區:高 Kerberos 金鑰發佈中心伺服器。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 Kerberos 驗證服務 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶登入 |
AccountLogon_AuditKerberosServiceTicketOperations
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
此原則設定可讓您稽核 Kerberos 驗證票證授與票證所產生的事件 (TGT) 提交給用戶帳戶的要求。
如果您設定此原則設定,則會在要求用戶帳戶使用 Kerberos 驗證 TGT 之後產生稽核事件。 成功稽核會記錄成功的要求,而失敗稽核會記錄失敗的要求。
如果您未設定此原則設定,則在要求用戶帳戶使用 Kerberos 驗證 TGT 之後,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 Kerberos 服務票證作業 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶登入 |
AccountLogon_AuditOtherAccountLogonEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
此原則設定可讓您稽核針對不是認證驗證或 Kerberos 票證的用戶帳戶登入提交的認證要求回應所產生的事件。 目前,這個子類別中沒有任何事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他帳戶登入事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶登入 |
AccountLogonLogoff_AuditAccountLockout
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
此原則設定可讓您稽核嘗試登入遭鎖定之帳戶失敗所產生的事件。如果您設定此原則設定,當帳戶因為帳戶遭到鎖定而無法登入計算機時,就會產生稽核事件。成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。 登入事件對於瞭解用戶活動及偵測潛在攻擊而言是不可或缺的。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核帳戶鎖定 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditGroupMembership
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
此原則可讓您稽核使用者登入令牌中的群組成員資格資訊。 此子類別中的事件會在建立登入工作階段的電腦上產生。 針對互動式登錄,安全性稽核事件會在使用者登入的計算機上產生。 針對網路登入,例如存取網路上的共用資料夾,安全性稽核事件會在裝載資源的計算機上產生。 設定此設定時,會為每個成功的登入建立一或多個安全性稽核事件。 您也必須啟用 [進階審核策略設定\系統審核策略\登入/註銷] 底下的 [稽核登入] 設定。 如果群組成員資格資訊無法納入單一安全性稽核事件,則會產生多個事件。
磁碟區:客戶端電腦上的低。 域控制器或網路伺服器上的中型。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核群組成員資格 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditIPsecExtendedMode
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
此原則設定可讓您稽核因特網密鑰交換通訊協定 (IKE) 和驗證的因特網通訊協定所產生的事件, (擴充模式交涉期間) 驗證的因特網通訊協定。
如果您設定此原則設定,則會在 IPsec 擴充模式交涉期間產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,在 IPsec 擴充模式交涉期間不會產生任何稽核事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 IPsec 延伸模式 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditIPsecMainMode
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
此原則設定可讓您在主要模式交涉期間,稽核因特網密鑰交換通訊協定 (IKE) 和已驗證因特網通訊協定 (AuthIP) 所產生的事件。
如果您設定此原則設定,則會在 IPsec 主要模式交涉期間產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在 IPsec 主要模式交涉期間不會產生任何稽核事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 IPsec 主要模式 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditIPsecQuickMode
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
此原則設定可讓您稽核在快速模式交涉期間,因特網密鑰交換通訊協定 (IKE) 和已驗證因特網通訊協定 (AuthIP) 所產生的事件。 如果您設定此原則設定,則會在 IPsec 快速模式交涉期間產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。 如果您未設定此原則設定,在 IPsec 快速模式交涉期間不會產生任何稽核事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 IPsec 快速模式 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditLogoff
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
此原則設定可讓您稽核關閉登入工作階段所產生的事件。 這些事件會發生在已存取的計算機上。 針對互動式註銷,會在用戶帳戶登入的計算機上產生安全性稽核事件。
如果您設定此原則設定,則會在登入工作階段關閉時產生稽核事件。 成功稽核會記錄關閉會話的成功嘗試,而失敗稽核會記錄關閉會話的失敗嘗試。
如果您未設定此原則設定,當登入工作階段關閉時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核登出 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditLogon
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
此原則設定可讓您稽核計算機上用戶帳戶登入嘗試所產生的事件。 此子類別中的事件與建立登入會話有關,而且會在存取的計算機上發生。 針對互動式登錄,安全性稽核事件會在用戶帳戶登入的計算機上產生。 針對網路登入,例如存取網路上的共用資料夾,安全性稽核事件會在裝載資源的計算機上產生。 包含下列事件:成功的登入嘗試。 登入嘗試失敗。 使用明確認證登入嘗試。 當行程透過明確指定該帳戶的認證來嘗試登入帳戶時,就會產生此事件。 這最常發生在批次登入設定中,例如排程工作或使用 RUNAS 命令時。 安全標識子 (已篩選) 且不允許登入的 SID。
磁碟區:客戶端電腦上的低。 域控制器或網路伺服器上的中型。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核登入 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditNetworkPolicyServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
此原則設定可讓您稽核 RADIUS (IAS) 和網路存取保護所產生的事件, (NAP) 使用者存取要求。 這些要求可以是授與、拒絕、捨棄、隔離、鎖定和解除鎖定。
如果您設定此原則設定,則會針對每個 IAS 和 NAP 使用者存取要求產生稽核事件。 成功稽核會記錄成功的使用者存取要求和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則不會稽核 IAS 和 NAP 使用者存取要求。
磁碟區:NPS 和 IAS 伺服器上的中度或高。 其他電腦上沒有磁碟區。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 3 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (預設) | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核網路原則伺服器 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
此原則設定可讓您稽核 「登入/註銷」原則設定中未涵蓋的其他登入/註銷相關事件,如下所示:終端機服務會話中斷連線。 新的終端機服務會話。 鎖定和解除鎖定工作站。 叫用屏幕保護。 關閉屏幕保護。 偵測到 Kerberos 重新執行攻擊,其中收到兩次具有相同資訊的 Kerberos 要求。 此情況可能是網路設定錯誤所造成。 存取授與使用者或電腦帳戶的無線網路。 存取授與使用者或計算機帳戶的有線 802.1x 網路。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他登入註銷事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditSpecialLogon
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
此原則設定可讓您稽核特殊登入所產生的事件,如下所示:使用特殊登入,這是具有系統管理員對等許可權的登入,可用來將程式提升至較高層級。 特殊群組成員的登入。 特殊群組可讓您稽核特定群組的成員登入網路時所產生的事件。 您可以在登入設定群組安全識別碼清單 (SID) 。 如果在登入期間將其中任何 SID 新增至令牌,且已啟用子類別,則會記錄事件。 如需這項功能的詳細資訊,請參閱 Microsoft 知識庫中947223一文。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核特殊登入 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountLogonLogoff_AuditUserDeviceClaims
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
此原則可讓您稽核使用者登入令牌中的使用者和裝置宣告資訊。 此子類別中的事件會在建立登入工作階段的電腦上產生。 針對互動式登錄,安全性稽核事件會在使用者登入的計算機上產生。 針對網路登入,例如存取網路上的共用資料夾,安全性稽核事件會在裝載資源的計算機上產生。 當宣告包含在 Active Directory 中使用者的帳戶屬性時,使用者宣告會新增至登入令牌。 當宣告包含在 Active Directory 中的裝置電腦帳戶屬性時,裝置宣告會新增至登入令牌。 此外,必須在網域和使用者登入的計算機上啟用複合身分識別。 設定此設定時,會為每個成功的登入建立一或多個安全性稽核事件。 您也必須啟用 [進階審核策略設定\系統審核策略\登入/註銷] 底下的 [稽核登入] 設定。 如果使用者和裝置宣告資訊無法納入單一安全性稽核事件,則會產生多個事件。
磁碟區:客戶端電腦上的低。 域控制器或網路伺服器上的中型。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核用戶裝置宣告 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>登入/註銷 |
AccountManagement_AuditApplicationGroupManagement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
此原則設定可讓您稽核應用程式群組變更所產生的事件,例如:應用程式群組已建立、變更或刪除。 成員會從應用程式群組新增或移除。
如果您設定此原則設定,則會在嘗試變更應用程式群組時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當應用程式群組變更時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核應用程式群組管理 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
AccountManagement_AuditComputerAccountManagement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
此原則設定可讓您稽核計算機帳戶變更所產生的事件,例如建立、變更或刪除計算機帳戶時。
如果您設定此原則設定,則會在嘗試變更電腦帳戶時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當計算機帳戶變更時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核電腦帳戶管理 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
AccountManagement_AuditDistributionGroupManagement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
此原則設定可讓您稽核對通訊群組所做的變更所產生的事件,如下所示:已建立、變更或刪除通訊群組。 成員會從通訊群組新增或移除。 通訊群組類型已變更。
如果您設定此原則設定,則會在嘗試變更通訊群組時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在通訊群組變更時不會產生任何稽核事件。
注意
此子類別中的事件只會記錄在域控制器上。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核通訊群組管理 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
AccountManagement_AuditOtherAccountManagementEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
此原則設定可讓您稽核此類別未涵蓋的其他使用者帳戶變更所產生的事件,例如:存取使用者帳戶的密碼哈希。 這通常會在 Active Directory 管理工具密碼移轉期間發生。 已呼叫密碼原則檢查 API。 當惡意應用程式測試原則以減少密碼字典攻擊期間的嘗試次數時,呼叫此函式可能會成為攻擊的一部分。 下列 群組原則 路徑下預設網域 群組原則 的變更:計算機設定\Windows 設定\安全性設定\帳戶原則\密碼原則計算機設定\Windows 設定\安全性設定\帳戶原則\帳戶鎖定原則。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他帳戶管理事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
AccountManagement_AuditSecurityGroupManagement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
此原則設定可讓您稽核安全組變更所產生的事件,如下所示:已建立、變更或刪除安全組。 成員會從安全組新增或移除。 群組類型已變更。
如果您設定此原則設定,則會在嘗試變更安全組時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當安全組變更時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核安全性群組管理 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
AccountManagement_AuditUserAccountManagement
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
此原則設定可讓您稽核用戶帳戶的變更。 事件包括: 使用者帳戶已建立、變更、刪除;已重新命名、停用、啟用、鎖定或解除鎖定。 用戶帳戶的密碼已設定或變更。 安全標識子 (SID) 會新增至使用者帳戶的 SID 歷程記錄。 已設定目錄服務還原模式密碼。 系統管理用戶帳戶的許可權會變更。 認證管理員認證會進行備份或還原。
如果您設定此原則設定,則會在嘗試變更用戶帳戶時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當使用者帳戶變更時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核使用者帳戶管理 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>帳戶管理 |
DetailedTracking_AuditDPAPIActivity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
此原則設定可讓您稽核對數據保護應用程式介面發出加密或解密要求時所產生的事件, (DPAPI) 。 DPAPI 可用來保護秘密資訊,例如儲存的密碼和金鑰資訊。 如需 DPAPI 的詳細資訊,請參閱 如何使用數據保護。
如果您設定此原則設定,則會在對 DPAPI 提出加密或解密要求時產生稽核事件。 成功稽核會記錄成功的要求,而失敗稽核會記錄失敗的要求。
如果您未設定此原則設定,則在對 DPAPI 提出加密或解密要求時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 DPAPI 活動 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DetailedTracking_AuditPNPActivity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
此原則設定可讓您在隨插即用偵測到外部裝置時進行稽核。
如果您設定此原則設定,每當即插即用偵測到外部裝置時,就會產生稽核事件。 此類別只會記錄成功的稽核。
如果您未設定此原則設定,當隨插即用偵測到外部裝置時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 PNP 活動 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DetailedTracking_AuditProcessCreation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
此原則設定可讓您稽核建立或啟動進程時所產生的事件。 也會稽核建立程式的應用程式或用戶名稱。
如果您設定此原則設定,則會在建立進程時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在建立進程時不會產生任何稽核事件。
磁碟區:取決於計算機的使用方式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立稽核程序 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DetailedTracking_AuditProcessTermination
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
此原則設定可讓您稽核進程結束時所產生的事件。
如果您設定此原則設定,則會在進程結束時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在進程結束時不會產生任何稽核事件。
磁碟區:取決於計算機的使用方式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 終止稽核程序 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DetailedTracking_AuditRPCEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
此原則設定可讓您稽核 RPC) 連線 (輸入遠端過程調用。
如果您設定此原則設定,則會在嘗試遠端 RPC 連線時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在嘗試遠端 RPC 連線時不會產生稽核事件。
磁碟區:RPC 伺服器上的高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 RPC 事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DetailedTracking_AuditTokenRightAdjusted
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
此原則設定可讓您稽核藉由調整令牌許可權所產生的事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核權杖許可權已調整 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統稽核原則>詳細追蹤 |
DSAccess_AuditDetailedDirectoryServiceReplication
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
此原則設定可讓您稽核由詳細 Active Directory 網域服務 (AD DS 所產生的事件,) 域控制器之間的複寫。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核詳細目錄服務複寫 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略 > DS 存取 |
DSAccess_AuditDirectoryServiceAccess
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
此原則設定可讓您稽核存取 Active Directory 網域服務 (AD DS) 物件時所產生的事件。 只會記錄具有相符系統訪問控制清單 (SACL) 的 AD DS 物件。 此子類別中的事件類似於舊版 Windows 中可用的目錄服務存取事件。
磁碟區:域控制器上的高。 用戶端電腦上沒有 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核目錄服務存取 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略 > DS 存取 |
DSAccess_AuditDirectoryServiceChanges
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
此原則設定可讓您稽核 AD DS) 中對象變更所產生的事件 Active Directory 網域服務 (。 建立、刪除、修改、移動或未刪除物件時,會記錄事件。 可能的話,此子類別中記錄的事件會指出物件屬性的舊值和新值。 此子類別中的事件只會記錄在域控制器上,而且只會記錄 AD DS 中具有相符系統訪問控制清單 (SACL) 的物件。
注意
某些物件和屬性上的動作不會因為架構中物件類別的設定而產生稽核事件。
如果您設定此原則設定,則會在嘗試變更 AD DS 中的物件時產生稽核事件。 成功稽核會記錄成功的嘗試,但不會記錄失敗的嘗試。
如果您未設定此原則設定,則在嘗試變更 AD DS 物件中的物件時,不會產生任何稽核事件。
磁碟區:僅限域控制器的高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核目錄服務變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略 > DS 存取 |
DSAccess_AuditDirectoryServiceReplication
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
此原則設定可讓您稽核兩個 Active Directory 網域服務 (AD DS) 域控制器之間的複寫。
如果您設定此原則設定,則會在AD DS 複寫期間產生稽核事件。 成功稽核會記錄成功的複寫和失敗稽核記錄失敗的複寫。
如果您未設定此原則設定,則 AD DS 複寫期間不會產生任何稽核事件。
磁碟區:域控制器上的中型。 用戶端電腦上沒有 。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核目錄服務複寫 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略 > DS 存取 |
ObjectAccess_AuditApplicationGenerated
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
此原則設定可讓您稽核使用 Windows Auditing 應用程式開發介面 (API) 產生事件的應用程式。 設計成使用 Windows 稽核 API 的應用程式會使用此子類別來記錄與其函式相關的稽核事件。 此子類別中的事件包括:建立應用程式用戶端內容。 刪除應用程式客戶端內容。 應用程式用戶端內容的初始化。 使用 Windows 稽核 API 的其他應用程式作業。
磁碟區:取決於產生磁碟區的應用程式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 已產生稽核應用程式 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditCentralAccessPolicyStaging
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
此原則設定可讓您稽核由建議原則授與或拒絕之許可權與物件上目前集中存取原則不同的存取要求。 如果您設定此原則設定,則每次使用者存取物件時都會產生稽核事件,而目前集中存取原則授與對象的許可權與建議原則所授與的許可權不同。 產生的稽核事件將產生如下:1) 成功稽核,設定時,記錄目前集中存取原則授與存取權,但建議的原則拒絕存取時的存取嘗試。 2) 設定記錄存取嘗試時發生失敗稽核:) 目前集中存取原則不會授與存取權,但建議的原則會授與存取權。 b) 主體要求允許的最大訪問許可權,而且目前集中存取原則所授與的訪問許可權與建議的原則所授與的訪問許可權不同。 磁碟區:當建議的原則與目前的集中存取原則有顯著差異時,檔伺服器上可能會很高。
磁碟區:當建議的原則與目前的集中存取原則有顯著差異時,檔伺服器上可能會很高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核中央存取原則階段 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditCertificationServices
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
此原則設定可讓您稽核 Active Directory 憑證服務 (AD CS) 作業。 AD CS 作業包含下列專案:AD CS 啟動/關機/備份/還原。 CRL) (證書吊銷清單的變更。 新的憑證要求。 發行憑證。 撤銷憑證。 AD CS 的憑證管理員設定變更。 AD CS 設定中的變更。 憑證服務範本的變更。 匯入憑證。 發行證書頒發機構單位憑證是要 Active Directory 網域服務。 AD CS 的安全性許可權變更。 金鑰的封存。 匯入金鑰。 擷取金鑰。 開始使用 OCSP) 回應者服務 (在線憑證狀態通訊協定。 停止 OCSP) 回應者服務 (在線憑證狀態通訊協定。
磁碟區:在執行Active Directory 憑證服務的電腦上中等或低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核憑證服務 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditDetailedFileShare
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
此原則設定可讓您稽核存取共享資料夾上檔案和資料夾的嘗試。 [詳細檔案共用] 設定會在每次存取檔案或資料夾時記錄事件,而 [檔案分享] 設定只會針對客戶端與檔案共享之間建立的任何連線記錄一個事件。 詳細的檔案共用稽核事件包含授與或拒絕存取權之許可權或其他準則的詳細資訊。
- 如果您設定此原則設定,當嘗試存取共用上的檔案或資料夾時,就會產生稽核事件。 系統管理員可以指定只稽核成功、僅稽核失敗或成功和失敗。
注意
共用資料夾 (SACL) 沒有系統存取控制清單。
- 如果啟用此原則設定,系統會稽核對系統上所有共用檔案和資料夾的存取權。
磁碟區:因為 群組原則 需要 SYSVOL 網路存取,所以在檔案伺服器或域控制器上很高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核詳細檔案共用 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditFileShare
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
此原則設定可讓您稽核存取共用資料夾的嘗試。
如果您設定此原則設定,則會在嘗試存取共用資料夾時產生稽核事件。
如果已定義此原則設定,系統管理員可以指定只稽核成功、僅稽核失敗或成功和失敗。
注意
共用資料夾 (SACL) 沒有系統存取控制清單。
- 如果啟用此原則設定,系統上所有共享資料夾的存取權都會受到稽核。
磁碟區:因為 群組原則 需要 SYSVOL 網路存取,所以在檔案伺服器或域控制器上很高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核檔案共用 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditFileSystem
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
此原則設定可讓您稽核使用者存取檔系統對象的嘗試。 只有在指定了系統訪問控制清單 (SACL) ,而且只有在要求的存取類型,例如 Write、Read 或 Modify,以及提出要求的帳戶符合 SACL 中的設定時,才會產生安全性稽核事件。 如需啟用物件存取稽核的詳細資訊,請參閱<https://go.microsoft.com/fwlink/?LinkId=122083>。
如果您設定此原則設定,則每次帳戶存取具有相符 SACL 的文件系統物件時,都會產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當帳戶存取具有相符 SACL 的檔案系統物件時,不會產生任何稽核事件。
注意
您可以使用該物件的 [屬性] 對話方塊中的 [安全性] 索引標籤,在檔案系統物件上設定 SACL。
磁碟區:取決於如何設定檔系統 SACL。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核檔案系統 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditFilteringPlatformConnection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
此原則設定可讓您稽核 Windows 篩選平臺 (WFP) 所允許或封鎖的連線。 包含下列事件:Windows 防火牆服務會封鎖應用程式接受網路上的連入連線。 WFP 允許連線。 WFP 會封鎖連線。 WFP 允許系結至本機埠。 WFP 會封鎖系結至本機埠。 WFP 允許連線。 WFP 會封鎖連線。 WFP 允許應用程式或服務接聽連入連線的埠。 WFP 會封鎖應用程式或服務接聽連入連線的埠。
如果您設定此原則設定,當 WFP 允許或封鎖連線時,就會產生稽核事件。 成功稽核會記錄允許連線時所產生的事件,而失敗稽核會記錄封鎖連線時所產生的事件。
如果您未設定此原則設定,WFP 允許或封鎖連線時,不會產生任何稽核事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核篩選平台連線 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditFilteringPlatformPacketDrop
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
此原則設定可讓您稽核 Windows 篩選平臺 (WFP) 卸除的封包。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核篩選平台封包丟棄 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditHandleManipulation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
這個原則設定可讓您稽核開啟或關閉物件的句柄時所產生的事件。 只有具有相符系統訪問控制清單 (SACL 的物件) 產生安全性稽核事件。
如果您設定此原則設定,則會在操作句柄時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在操作句柄時不會產生任何稽核事件。
注意
此子類別中的事件只會針對啟用對應物件存取子類別的物件類型產生事件。 例如,如果已啟用文件系統物件存取,則會產生處理操作安全性稽核事件。 如果未啟用登錄物件存取,則不會產生處理操作安全性稽核事件。
磁碟區:取決於 SACL 的設定方式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核控點操作 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditKernelObject
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
此原則設定可讓您稽核存取核心的嘗試,包括 Mutex 和號誌。 只有具有相符系統訪問控制清單的核心物件 (SACL) 產生安全性稽核事件。
注意
稽核:稽核全域系統對象原則設定的存取權,可控制核心對象的預設 SACL。
磁碟區:如果啟用全域系統物件的稽核存取,則為高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核核心物件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditOtherObjectAccessEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
此原則設定可讓您稽核工作排程器作業或 COM+ 物件管理所產生的事件。 針對排程器作業,會稽核下列專案:已建立作業。 已刪除作業。 已啟用作業。 作業已停用。 作業已更新。 針對 COM+ 物件,稽核下列專案:已新增 Catalog 物件。 已更新 Catalog 物件。 已刪除 Catalog 物件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他物件存取事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditRegistry
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
此原則設定可讓您稽核存取登錄對象的嘗試。 只有具有系統訪問控制清單 (指定 SAC) L 的物件,以及只有在要求的存取類型,例如讀取、寫入或修改,以及提出要求的帳戶符合 SACL 中的設定時,才會產生安全性稽核事件。
如果您設定此原則設定,每次帳戶存取具有相符 SACL 的登錄物件時,就會產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當帳戶存取具有相符 SACL 的登錄物件時,不會產生任何稽核事件。
注意
您可以使用 [許可權] 對話框,在登錄物件上設定 SACL。
磁碟區:取決於登錄 SACL 的設定方式。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核登錄 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditRemovableStorage
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
此原則設定可讓您稽核用戶嘗試存取卸除式儲存設備上的文件系統物件。 只有所有要求存取類型的物件才會產生安全性稽核事件。
如果您設定此原則設定,每次帳戶存取卸除式記憶體上的文件系統物件時,就會產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當帳戶存取抽取式記憶體上的文件系統物件時,不會產生任何稽核事件。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核抽取式存放裝置 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
ObjectAccess_AuditSAM
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
此原則設定可讓您稽核嘗試存取安全性帳戶管理員 (SAM) 物件所產生的事件。 SAM 物件包含下列專案:SAM_ALIAS -- 本機群組。 SAM_GROUP -- 不是本機群組的群組。 SAM_USER - 使用者帳戶。 SAM_DOMAIN - 網域。 SAM_SERVER - 計算機帳戶。
如果您設定此原則設定,則會在嘗試存取核心物件時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當嘗試存取核心物件時,不會產生任何稽核事件。
注意
只能修改 SAM_SERVER的系統 存取控制 清單 (SACL) 。 磁碟區:域控制器上的高。
磁碟區:域控制器上的高。 如需減少稽核全域系統物件存取所產生之事件數目的詳細資訊,請參閱 稽核全域系統物件的存取權。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 SAM |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>物件存取 |
PolicyChange_AuditAuthenticationPolicyChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
此原則設定可讓您稽核驗證原則變更所產生的事件,例如:建立樹系和網域信任。 修改樹系和網域信任。 拿掉樹系和網域信任。 計算機設定\Windows 設定\安全性設定\帳戶原則\Kerberos 原則下的 Kerberos 原則變更。 將下列任何用戶權力授與使用者或群組:從網路存取這部計算機。 允許在本機登入。 允許透過終端機服務登入。 以 Batch 作業登入。 登入服務。 命名空間衝突。 例如,當新信任的名稱與現有的命名空間名稱相同時。
如果您設定此原則設定,則會在嘗試變更驗證原則時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當驗證原則變更時,不會產生任何稽核事件。
注意
套用組策略時,會記錄安全性稽核事件。 其不會在修改設定時發生。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核驗證原則變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PolicyChange_AuditAuthorizationPolicyChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
此原則設定可讓您稽核授權原則變更所產生的事件,例如:指派用戶權力 (許可權) ,例如 SeCreateTokenPrivilege,這些事件不會透過「驗證原則變更」子類別來稽核。 拿掉未透過「驗證原則變更」子類別稽核的用戶權力 () 許可權,例如 SeCreateTokenPrivilege。 加密文件系統 (EFS) 原則中的變更。 變更物件的 Resource 屬性。 套用至物件的中央存取原則 (CAP) 變更。
如果您設定此原則設定,則會在嘗試變更授權原則時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在授權原則變更時不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核授權原則變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PolicyChange_AuditFilteringPlatformPolicyChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
此原則設定可讓您稽核 Windows 篩選平臺 (WFP) 變更所產生的事件,如下所示:IPsec 服務狀態。 IPsec 原則設定的變更。 Windows 防火牆原則設定的變更。 WFP 提供者和引擎的變更。
如果您設定此原則設定,則會在嘗試變更 WFP 時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,當 WFP 發生變更時,不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核篩選平台原則變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
此原則設定可讓您稽核 Microsoft 保護服務 (MPSSVC) 所使用的原則規則變更所產生的事件。 Windows 防火牆會使用此服務。 事件包括下列各項:當 Windows 防火牆服務啟動時,報告作用中的原則。 Windows 防火牆規則的變更。 Windows 防火牆例外狀況列表的變更。 Windows 防火牆設定的變更。 Windows 防火牆服務忽略或未套用的規則。 Windows 防火牆 群組原則 設定的變更。
如果您設定此原則設定,則會嘗試變更 MPSSVC 所使用的原則規則來產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則 MPSSVC 所使用的原則規則變更不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 MPSSVC 規則層級原則變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PolicyChange_AuditOtherPolicyChangeEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
此原則設定可讓您稽核原則變更類別中未稽核的其他安全策略變更所產生的事件,例如:信賴平臺模組 (TPM) 組態變更。 內核模式密碼編譯自我測試。 密碼編譯提供者作業。 密碼編譯內容作業或修改。 套用中央存取原則 (CAP) 變更。 開機設定數據 (BCD) 修改。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他原則變更事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PolicyChange_AuditPolicyChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
此原則設定可讓您稽核安全性審核策略設定中的變更,如下所示:設定稽核原則對象的許可權和稽核設定。 系統審核策略的變更。 註冊安全性事件來源。 取消註冊安全性事件來源。 每個使用者稽核設定的變更。 CrashOnAuditFail 值的變更。 變更檔案系統或登錄物件上的系統訪問控制清單。 [特殊群組] 列表的變更。
注意
當物件的 SACL 變更且原則變更類別目錄已啟用時,系統訪問控制清單 (SACL) 變更稽核。 啟用物件存取稽核並設定物件的 SACL 來稽核 DACL/擁有者變更時,會稽核 DACL) 和擁有權變更 (選擇性存取控制清單。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 審核策略變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核原則>變更 |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
此原則設定可讓您稽核使用非敏感性許可權所產生的事件, (用戶權力) 。 下列許可權不區分:以受信任呼叫者身分存取認證管理員。 從網路存取這部計算機。 將工作站新增至網域。 調整進程的記憶體配額。 允許在本機登入。 允許透過終端機服務登入。 略過周遊檢查。 變更系統時間。 建立頁面檔。 建立全域物件。 建立永久共享物件。 建立符號連結。 拒絕從網路存取這部計算機。 拒絕以批作業登入。 拒絕以服務方式登入。 拒絕在本機登入。 拒絕透過終端機服務登入。 從遠端系統強制關機。 增加進程工作集。 增加排程優先順序。 鎖定記憶體中的頁面。 以批次作業登入。 以服務方式登入。 修改物件標籤。 執行磁碟區維護工作。 配置檔單一進程。 配置檔系統效能。 從停駐站移除計算機。 關閉系統。 同步處理目錄服務數據。
如果您設定此原則設定,則會在呼叫非敏感性許可權時產生稽核事件。 成功稽核會記錄成功的呼叫,而失敗稽核會記錄失敗的呼叫。
如果您未設定此原則設定,則呼叫非敏感性許可權時不會產生任何稽核事件。
磁碟區:非常高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核非機密特殊權限使用情況 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>許可權使用 |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
未使用。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他特殊權限使用事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>許可權使用 |
PrivilegeUse_AuditSensitivePrivilegeUse
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
此原則設定可讓您稽核使用敏感性許可權 (用戶權力) 時所產生的事件,如下所示:呼叫特殊許可權服務。 下列其中一個許可權稱為:作為操作系統的一部分。 備份檔案和目錄。 建立令牌物件。 偵錯程式。 讓計算機和用戶帳戶受信任以進行委派。 產生安全性稽核。 在驗證之後模擬用戶端。 載入和卸除設備驅動器。 管理稽核和安全性記錄。 修改韌體環境值。 取代進程層級令牌。 還原檔案和目錄。 取得檔案或其他對象的擁有權。
如果您設定此原則設定,則會在提出敏感性許可權要求時產生稽核事件。 成功稽核會記錄成功的要求,而失敗稽核會記錄失敗的要求。
如果您未設定此原則設定,則不會在提出敏感性許可權要求時產生任何稽核事件。
磁碟區:高。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核機密特殊權限使用情況 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>許可權使用 |
System_AuditIPsecDriver
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
此原則設定可讓您稽核 IPsec 篩選驅動程式所產生的事件,例如:啟動和關閉 IPsec 服務。 網路封包因為完整性檢查失敗而捨棄。 因重新執行檢查失敗而捨棄的網路封包。 網路封包因為純文本而捨棄。 收到安全性參數索引 (SPI) 不正確的網路封包。 這可能表示網路卡無法正常運作,或需要更新驅動程式。 無法處理 IPsec 篩選。
如果您設定此原則設定,則會在 IPsec 篩選驅動程式作業上產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則IPSec篩選驅動程式作業不會產生任何稽核事件。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核 IPsec 驅動程式 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>系統 |
System_AuditOtherSystemEvents
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
此原則設定可讓您稽核下列任何事件:啟動和關閉 Windows 防火牆服務和驅動程式。 Windows 防火牆服務所處理的安全策略。 密碼編譯金鑰檔案和移轉作業。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 3 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (預設) | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核其他系統事件 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>系統 |
System_AuditSecurityStateChange
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10 版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
此原則設定可讓您稽核計算機安全性狀態變更所產生的事件,例如下列事件:計算機的啟動和關機。 系統時間的變更。 從 CrashOnAuditFail 復原系統,此系統會在安全性事件記錄檔已滿且設定 CrashOnAuditFail 登錄專案時重新啟動之後記錄。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 (預設) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核安全性狀態變更 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>系統 |
System_AuditSecuritySystemExtension
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
此原則設定可讓您稽核與安全性系統延伸模組或服務相關的事件,例如:已載入驗證、通知或安全性套件等安全性系統擴充功能,並已向本地安全機構 (LSA) 註冊。 它用來驗證登入嘗試、提交登入要求,以及任何帳戶或密碼變更。 安全性系統擴充功能的範例包括 Kerberos 和 NTLM。 服務會安裝並註冊至服務控制管理員。 稽核記錄包含服務名稱、二進位檔、類型、啟動類型和服務帳戶的相關信息。
如果您設定此原則設定,則會在嘗試載入安全性系統延伸模組時產生稽核事件。 成功稽核會記錄成功的嘗試和失敗稽核記錄失敗的嘗試。
如果您未設定此原則設定,則在嘗試載入安全性系統延伸模組時,不會產生任何稽核事件。
磁碟區:低。 安全性系統擴充功能事件在域控制器上產生的頻率高於用戶端電腦或成員伺服器上。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核安全性系統延伸 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>系統 |
System_AuditSystemIntegrity
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134.1039] 和更新版本 ✅Windows 10 版本 1809 [10.0.17763.774] 和更新版本 ✅Windows 10,版本 1903 [10.0.18362.329] 和更新版本 ✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
此原則設定可讓您稽核違反安全性子系統完整性的事件,如下所示:因為稽核系統發生問題而無法寫入事件記錄檔的事件。 使用本機過程調用 (LPC) 埠的進程,在嘗試透過回復、讀取或寫入用戶端位址空間來模擬用戶端時無效。 偵測到會危害系統完整性的遠端過程調用 (RPC) 。 偵測程式代碼完整性所決定無效之可執行檔的哈希值。 危害系統完整性的密碼編譯作業。
磁碟區:低。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 3 |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 關閉/無。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (預設) | 成功+失敗。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 稽核系統整合性 |
| 路徑 | Windows 設定安全性>>設定進階審核策略設定>系統審核策略>系統 |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應