非機密特権の使用を監査する
非機密特権の使用を監査する
非機密特権の使用を監査するには、非機密特権の使用を示すイベントが含まれます。これは非機密特権のリストです:
信頼された呼び出し元として資格情報マネージャーにアクセスする
ワークステーションをドメインに追加する
プロセスのメモリ割り当てを調整する
トラバース チェックをバイパスする
システム時刻を変更する
タイム ゾーンを変更する
ページ ファイルを作成する
グローバル オブジェクトを作成する
永続的な共有オブジェクトを作成する
シンボリック リンクを作成する
リモート システムからシャットダウンを強制する
プロセスの作業セットを増やす
スケジューリング優先度を上げる
メモリ内のページをロックする
オブジェクト ラベルを変更する
ボリューム メンテナンス タスクを実行する
単一プロセスのプロファイルを作成する
システム パフォーマンスをプロファイルする
コンピューターをドッキング ステーションから取り外す
システムをシャットダウンする
ディレクトリ サービス データを同期する
このサブカテゴリには、ファイルシステム トランザクション マネージャーからの情報イベントも含まれます。
このポリシー設定を構成すると、非機密特権が呼び出されたときに監査イベントが生成されます。成功監査は成功した試行を記録し、失敗監査は失敗した試行を記録します。
イベント ボリューム: 非常に高い。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメイン コントローラー | いいえ | IF | いいえ | IF | 成功監査はイベントのボリュームが非常に高く、通常は 機密特権の使用を監査する サブカテゴリのイベントほど重要ではないため、お勧めしません。IF – 非機密特権の使用に失敗した試行に関する情報が必要な場合、例えば SeShutdownPrivilege や SeRemoteShutdownPrivilege など、失敗監査を有効にすることができます。 |
| メンバー サーバー | いいえ | IF | いいえ | IF | 成功監査はイベントのボリュームが非常に高く、通常は 機密特権の使用を監査する サブカテゴリのイベントほど重要ではないため、お勧めしません。IF – 非機密特権の使用に失敗した試行に関する情報が必要な場合、例えば SeShutdownPrivilege や SeRemoteShutdownPrivilege など、失敗監査を有効にすることができます。 |
| ワークステーション | いいえ | IF | いいえ | IF | 成功監査はイベントのボリュームが非常に高く、通常は 機密特権の使用を監査する サブカテゴリのイベントほど重要ではないため、お勧めしません。IF – 非機密特権の使用に失敗した試行に関する情報が必要な場合、例えば SeShutdownPrivilege や SeRemoteShutdownPrivilege など、失敗監査を有効にすることができます。 |
イベントリスト: