名稱 | 稽核原則:系統:稽核安全性系統延伸 |
GPO | Computer Settings |
類別 | 進階稽核原則\系統 |
描述 | ▪ 這個原則設定可稽核與安全性系統延伸或服務相關的事件,例如: 載入安全性系統延伸(如驗證、通知或安全性封裝),並向本機安全性授權(LSA) 進行註冊。它是用來驗證登入嘗試、提交登入要求,以及任何帳戶或密碼變更。Kerberos 及 NTLM 是安全性系統延伸的範例 安裝服務,並向服務控制管理員進行註冊。稽核記錄包含服務名稱、二進位、類型、啟動類型及服務帳戶的相關資訊 ▪ 如果設定這個原則設定,則會在嘗試載入安全性系統延伸時產生稽核事件。成功稽核會記錄成功嘗試,而失敗稽核則會記錄失敗嘗試 ▪ 如果未設定這個原則設定,則不會在嘗試載入安全性系統延伸時產生稽核事件 ▪ 預設值: 沒有稽核 |
設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\系統] 3. 在右邊窗點擊 "稽核安全性系統延伸". 4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗]) |