Я разработчик браузера (Firefox), и я работаю с ограниченными токенами, чтобы заблокировать нашу песочницу в большей степени, чем сейчас. Я удаляю SID из нашего информационного процесса, и это ломает работу. Идентифицировать конкретную вещь, которую он ломает, было бы намного проще, если бы Windows могла просто сказать мне (как можно подробнее) любой вызов функции, выполненное приложением, которое не удалось из-за отсутствия разрешения на выполнение [что угодно].
Возможно ли, чтобы средство просмотра событий отображало каждую неудачную проверку контроля доступа, выполняемую приложением?
(Я просмотрел журналы приложений / безопасности в разделе «Windows» в средстве просмотра событий, но они ничего не содержали.)
Возможно ли, чтобы средство просмотра событий отображало каждую неудачную проверку контроля доступа, выполняемую приложением?
Журнал событий не генерирует регистрируемые события. Вам необходимо включить ведение журнала аудита для действий, которые вы хотите регистрировать.
Вы можете включить аудит либо с помощью групповой политики, либо в локальной политике безопасности компьютера.
я считать ответ на этот вопрос - Да, установив для параметра «Аудит доступа к объекту» значение «Сбой (или все)».