特権使用の監査
特権使用の監査
ユーザーがユーザー権利を行使する各インスタンスを監査するかどうかを決定します。
このポリシー設定を定義すると、成功の監査、失敗の監査、またはこの種類のイベントをまったく監査しないかを指定できます。成功の監査は、ユーザー権利の行使が成功したときに監査エントリを生成します。失敗の監査は、ユーザー権利の行使が失敗したときに監査エントリを生成します。
この値を 監査なし に設定するには、このポリシー設定の プロパティ ダイアログボックスで、これらのポリシー設定を定義するチェックボックスを選択し、成功 と 失敗 のチェックボックスをクリアします。
デフォルト: 監査なし。
次のユーザー権利の使用については、特権使用の監査 に対して成功の監査または失敗の監査が指定されていても、監査は生成されません。これらのユーザー権利の監査を有効にすると、セキュリティログに多くのイベントが生成され、コンピューターのパフォーマンスに影響を与える可能性があります。次のユーザー権利を監査するには、FullPrivilegeAuditing レジストリキーを有効にします。
- トラバースチェックのバイパス
- プログラムのデバッグ
- トークンオブジェクトの作成
- プロセスレベルのトークンの置換
- セキュリティ監査の生成
- ファイルとディレクトリのバックアップ
- ファイルとディレクトリの復元
この監査設定を構成する
このセキュリティ設定は、コンピューターの構成\Windowsの設定\セキュリティの設定\ローカルポリシー\監査ポリシーで構成できます。
| 特権使用イベント | 説明 |
|---|---|
| 576 | 指定された特権がユーザーのアクセス トークンに追加されました。注: このイベントは、ユーザーがログオンしたときに生成されます。 |
| 577 | ユーザーが特権のあるシステムサービス操作を実行しようとしました。 |
| 578 | 保護されたオブジェクトへの既に開かれているハンドルで特権が使用されました。 |