web-dev-qa-db-ja.com

レジストリを介して監査ポリシーを変更する

監査イベントログエントリを読み取るアプリケーションを開発しています。しかし、Windows 10 Homeを使用してホームノートブックでスタックし、gpedit.mscまたはsecpol.mscを起動できません。したがって、レジストリを通じてログオン監査イベントを有効にする必要があります。私はこの場所を思いついた:

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv

これらは私が見つけたリソースです:

これは私の現在の設定です:

contents of that Registry value

ログオンの成功をイベントログに記録するには、設定をどのように変更すればよいですか?

5
grmbl

Homeエディションにauditpol.exeがあるかどうかはわかりませんが、ある場合、このコマンドはすべてのログオン関連アクティビティの成功と失敗の監査を有効にします。

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

本当にレジストリを破壊したい場合は、 その優れたドキュメント を利用できます。 (Microsoftのものは時代遅れです-それは監査サブカテゴリを持っていなかったWindows NT用です。)最初にレジストリへのシステムレベルのアクセスが必要になります。あなたはすでにそれを達成しているように見えますが、他のすべての人にとって、それは PsExec で行うことができます:

psexec -s -i regedit

(これにより、SYSTEMとして実行されるレジストリエディタのインスタンスが作成されます。)完了したら、デフォルト値のHKLM\SECURITY\Policy\PolAdtEvを開きます。ドキュメントの2ページ目には、各サブカテゴリを制御する場所が記載されています。たとえば、ログオンは22バイト目、または16進数(レジストリエディタのサイドバーで使用)の16から始まります。このスクリーンショットでは、ログオンを制御する部分を強調表示しています。

the Logon control

これらはすべて16ビット(2バイト)の値です。 00 00は監査なし、01 00は成功監査、02 00は失敗監査、03 00はすべての監査を意味します。

したがって、ログオンとログオフの成功を監査する場合は、場所0x16で開始されたデータを01 00 01 00に置き換えます。上のスクリーンショットでは、これらの監査をすべてオンにしました。ログオン/ログオフカテゴリ全体が必要な場合は、9つのサブカテゴリがあるため、9つの01 00が必要になります。

変更を有効にするには、再起動する必要があります。

5
Ben N