名稱稽核原則:原則變更:稽核「稽核原則變更」
GPOComputer Settings
類別進階稽核原則\原則變更
描述▪ 此項原則設定可稽核安全性稽核原則設定變更,例如:
- 稽核原則物件上的設定權限及稽核設定
- 系統稽核原則的變更
- 安全性事件來源的註冊
- 解除安全性事件來源的註冊
- 每個使用者稽核設定的變更
- CrashOnAuditFail 值的變更
- 檔案系統或登錄物件上的系統存取控制清單變更
- 特殊群組清單的變更
▪ 注意:物件的 SACL 變更而且已啟用原則變更類別時,會進行系統存取控制清單(SACL) 變更稽核。啟用物件存取稽核且設定物件的 SACL 以稽核 DACL/擁有者變更時,會稽核判別存取控制清單(DACL) 及擁有權變更
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\原則變更]
3. 在右邊窗點擊 "稽核「稽核原則變更」".
4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗])