名稱 | 稽核原則:系統:稽核系統完整性 |
GPO | Computer Settings |
類別 | 進階稽核原則\系統 |
描述 | ▪ 這個原則設定可稽核會破壞安全性子系統完整性的事件,例如: 因稽核系統發生問題而無法寫入事件記錄檔的事件 使用本機程序呼叫(LPC) 連接埠的處理程序,而此連接埠在透過與用戶端位址空間之間的回覆、讀取或寫入來嘗試模擬用戶端的過程中無效 偵測到危害系統完整性的遠端程序呼叫(RPC) 偵測到程式碼完整性判斷為無效之可執行檔的雜湊值 危害系統完整性的加密編譯操作 ▪ 預設值: 成功,失敗 |
設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\系統] 3. 在右邊窗點擊 "稽核系統完整性". 4. 勾選 [成功] [失敗], 點擊 "確定". (GCB 設定值為 [成功] [失敗]) |