我正在开发一个应用程序来读取审计事件日志条目。但我只能在家里的笔记本上Windows 10 家庭版我无法启动
gpedit.msc或secpol.msc。因此我必须通过注册表启用登录审核事件。我想到了这个位置:
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv
这些是我找到的资源:
这是我当前的设置:
我应该如何更改设置才能将登录成功记录到事件日志中?
答案1
我不确定家庭版是否有auditpol.exe,但如果有,此命令将启用所有登录相关活动的成功和失败审核:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
如果你真的想破坏注册表,你可以利用那份优秀的文件您找到的。(Microsoft 的版本已经过时了 - 它适用于 Windows NT,而 Windows NT 没有审计子类别。)您首先需要系统级的注册表访问权限。看起来您已经完成了这一操作,但对于其他人来说,可以使用执行程序:
psexec -s -i regedit
(这将创建以 SYSTEM 身份运行的注册表编辑器实例。)完成后,打开默认值HKLM\SECURITY\Policy\PolAdtEv。文档的第二页给出了控制每个子类别的位置。例如,登录从第 22 个字节开始,或者以十六进制(注册表编辑器的侧边栏使用)表示为 16。在此屏幕截图中,我突出显示了控制登录的部分:
这些都是 16 位(双字节)值。00 00表示无审计,01 00表示成功审计,02 00表示失败审计,03 00表示所有审计。
因此,如果您想要审核登录和注销成功,则需要将从位置 0x16 开始的数据替换为01 00 01 00。在上面的屏幕截图中,我启用了所有审核。如果您想要整个登录/注销类别,则需要九个,01 00因为有九个子类别。
您需要重新启动才能使更改生效。