¿Windows contiene ACL del sistema por defecto para propósitos de auditoría?

Al intentar probar la creación de SACL en un object de sistema de files, me di count de que no estaba registrando en el logging de events. Después de un poco de excavación, me encontré con que tenía que voltear el "interruptor maestro" en la Política de Seguridad Local para que las inputs se registren. Por lo tanto, habilité el logging de éxito y error para "Acceso a objects de auditoría".

Cuando revisé el logging de events, sin embargo, estaba siendo spam por los events de auditoría de las cosas que ni siquiera había habilitado! Las fallas de cortafuegos, los accesos a files de \ Windows32, una serie de otras inputs de auditoría aleatoria comenzaron a dertwigrse en el logging de security donde no tenían antes.

Por lo tanto, mi pregunta es, ¿se envía Windows con un set pnetworkingefinido de SACL que se activan cuando se activa este "Master Switch?" ¿Puedo get una list de ellos y / o elegir agregar / quitarlos?

¿Por qué no lo intenta con el nodo Advanced Audit Policy Configuration?

Para get más información acerca de la configuration de la directiva de auditoría avanzada, consulte http://go.microsoft.com/fwlink/?LinkId=140969

Puede establecer una SACL en un object de sistema de files mediante la pestaña Seguridad en el cuadro de dialog Propiedades de ese object. Haga clic en el button Avanzado y vaya a la pestaña Auditoría. Puede editar las inputs de auditoría allí.

Además, siempre puede filtrar el logging actual en el visor de events.

Intereting Posts