Можно ли с помощью групповой политики (или другими способами?) Заставить все мои Windows Server и клиентские компьютеры включать журнал аудита сетевых подключений, но только для запрещенных сетевых подключений, без регистрации успешных подключений?
Мое текущее событие Windows - журнал безопасности полон разрешенных сетевых подключений, которые я вообще не хочу регистрировать
auditpol.exe /set /category:"Policy Change" /subcategory:"MPSSVC rule-level Policy Change" /success:disable /failure:enable
это возможно с расширенными настройками аудита.