Изменить политику аудита через Реестр

6372
grmbl

Я разрабатываю приложение для чтения записей журнала событий аудита. Но я застрял на своем домашнем ноутбуке с Windows 10 Home и не могу запустить gpedit.mscили secpol.msc. Таким образом, я должен включить события аудита входа в систему через реестр. Я придумал это место:

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv

Вот ресурсы, которые я нашел:

Это мои текущие настройки:

содержимое этого значения реестра

Как изменить настройки, чтобы успешные входы в систему регистрировались в журнале событий?

4
«Но я застрял на своем домашнем ноутбуке с Windows 10 Home, потому что не могу запустить gpedit.msc» - не правда, посмотрите мои вопросы и ответы [Windows Starter Edition, Home и Home Premium не включают gpedit, как мне его установить? ] (http://superuser.com/q/1018145) DavidPostill 8 лет назад 1
См. Также другой мой ответ [Невозможно установить параметры политики аудита в Windows 8.1, независимо от того, что я делаю] (http://superuser.com/a/996978), который показывает на снимках экрана, как установить политику аудита для входа в систему. DavidPostill 8 лет назад 0
Странно, что этот инструмент размещен на deviantart. И я не уверен, что этот инструмент (предположительно для windows xp) не нарушит настройки моего реестра ... Поэтому я подожду более достоверного ответа. grmbl 8 лет назад 0
Он был протестирован на Windows 10 высокопрофессиональным пользователем [Moab] (http://superuser.com/users/40928/moab) и подтвержден как работающий. DavidPostill 8 лет назад 0
Читайте также комментарии на http://www.askvg.com/how-to-enable-group-policy-editor-gpedit-msc-in-windows-7-home-premium-home-basic-and-starter-editions/ (ссылка на источник). Много подтверждений, что это работает. DavidPostill 8 лет назад 0
Я знаю, что может показаться немного параноидальным, но источник не заслуживает доверия IMO, несмотря на то, что я остаюсь чистым от неофициальных патчей. grmbl 8 лет назад 0

1 ответ на вопрос

4
Ben N

Я не уверен, что в версии Home есть auditpol.exe, но если это так, эта команда включит аудит успеха и ошибок для всех действий, связанных с входом в систему:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

Если вы действительно хотите взломать Реестр, вы можете воспользоваться этим прекрасным документом, который вы нашли. (Microsoft устарела - для Windows NT, в которой не было подкатегорий аудита.) Сначала вам потребуется доступ к реестру на системном уровне. Похоже, вы уже достигли этого, но для всех остальных это можно сделать с помощью PsExec :

psexec -s -i regedit

(Это создает экземпляр редактора реестра, работающего как SYSTEM.) Как только вы это сделали, откройте значение по умолчанию для HKLM\SECURITY\Policy\PolAdtEv. На второй странице документа указаны места, которые контролируют каждую подкатегорию. Например, вход в систему начинается с 22-го байта или в шестнадцатеричном формате (используется боковой панелью редактора реестра) 16. На этом снимке экрана я выделил часть, которая управляет входом в систему:

the Logon control

Это все 16-битные (двухбайтовые) значения. 00 00означает отсутствие аудита, 01 00означает аудит успеха, 02 00означает аудит неудачи и 03 00означает весь аудит.

Итак, если вы хотите проверять успехи входа и выхода из системы, вы должны заменить данные, начатые в расположении 0x16, на 01 00 01 00. На скриншоте выше я включил все проверки для тех. Если вам нужна вся категория Logon / Logoff, вам понадобится девять 01 00секунд, потому что есть девять подкатегорий.

Вам нужно будет перезагрузиться, чтобы изменения вступили в силу.

Удивительно, спасибо за этот четкий ответ! grmbl 8 лет назад 0

Похожие вопросы