名稱稽核原則:特殊權限使用:稽核機密特殊權限使用
GPOComputer Settings
類別進階稽核原則\特殊權限使用
描述▪ 此項原則設定可稽核使用機密特殊權限(使用者權限) 時產生的事件,例如:
(1) 呼叫特許服務
(2) 呼叫下列其中一種權限:
- 當成作業系統的一部分
- 備份檔案及目錄
- 建立權杖物件
- 偵錯程式
- 讓電腦及使用者帳戶受信賴,以進行委派
- 產生安全性稽核
- 在驗證後模擬用戶端
- 載入及解除載入裝置驅動程式
- 管理稽核及安全性記錄檔
- 修改韌體環境值
- 取代處理程序等級權杖
- 還原檔案及目錄
- 取得檔案或其他物件的擁有權
▪ 如果設定此項原則設定,則會在進行機密特殊權限要求時產生稽核事件。成功稽核會記錄成功要求,而失敗稽核則會記錄失敗要求
▪ 如果未設定此項原則設定,則不會進行機密特殊權限要求時產生稽核事件
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\特殊權限使用]
3. 在右邊窗點擊 "稽核機密特殊權限使用".
4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗])