名稱 | 稽核原則:原則變更:稽核「稽核原則變更」 |
GPO | Computer Settings |
類別 | 進階稽核原則\原則變更 |
描述 | ▪ 此項原則設定可稽核安全性稽核原則設定變更,例如: - 稽核原則物件上的設定權限及稽核設定 - 系統稽核原則的變更 - 安全性事件來源的註冊 - 解除安全性事件來源的註冊 - 每個使用者稽核設定的變更 - CrashOnAuditFail 值的變更 - 檔案系統或登錄物件上的系統存取控制清單變更 - 特殊群組清單的變更 ▪ 注意:物件的 SACL 變更而且已啟用原則變更類別時,會進行系統存取控制清單(SACL) 變更稽核。啟用物件存取稽核且設定物件的 SACL 以稽核 DACL/擁有者變更時,會稽核判別存取控制清單(DACL) 及擁有權變更 |
設定 | 1. 執行 gpedit.msc 打開本機群組原則編輯器 2. 選擇 [電腦設定\Windows 設定\安全性設定\進階稽核原則設定\稽核原則\原則變更] 3. 在右邊窗點擊 "稽核「稽核原則變更」". 4. 勾選 [成功] [失敗] (GCB 設定值為 [成功] [失敗]) |