Пытаясь протестировать создание SACL для объекта файловой системы, я заметил, что он не записывается в журнал событий. Покопавшись, я обнаружил, что мне нужно щелкнуть «главный переключатель» в локальной политике безопасности, чтобы записи регистрировались. Итак, я включил ведение журнала успехов и сбоев для «Аудит доступа к объектам».
Однако, когда я проверил журнал событий, он был засыпан событиями аудита для вещей, которые я даже не включил! Сбои брандмауэра, доступ к файлам \ Windows32, множество других случайных записей аудита начали попадать в журнал безопасности там, где их не было раньше.
Итак, мой вопрос: поставляется ли Windows с предопределенным набором списков управления доступом, которые активируются при активации этого «главного коммутатора»? Могу ли я получить их список и / или добавить / удалить их?
Почему бы вам не попробовать с помощью узла Advanced Audit Policy Configuration?
Для получения дополнительных сведений о конфигурации расширенной политики аудита см. http://go.microsoft.com/fwlink/?LinkId=140969
Вы можете установить SACL для объекта файловой системы, используя вкладку «Безопасность» в диалоговом окне «Свойства» этого объекта. Нажмите кнопку «Дополнительно» и перейдите на вкладку «Аудит». Здесь вы можете редактировать записи аудита.
Кроме того, вы всегда можете фильтровать текущий журнал в средстве просмотра событий.