例如,如果标准用户想要执行需要管理员权限的软件安装,则必须使用管理员凭据来授权该操作。那么 Windows 或 Active Directory 是否会保留用于授权安装的管理员帐户的日志?如果是,您会在哪里查找信息?
注意:活动目录服务在 Windows Server 2008 上运行,客户端主要是 Windows 10 Pro
答案1
Uac 审计是通过更改 Windows 策略(本地\组)来完成的。感兴趣的策略位于:计算机配置\策略\Windows 设置\安全设置\本地策略\审计策略
审核特权使用将为您提供有关使用系统事件日志中的 UAC consent.exe 对话框提升使用率的信息。由此创建的事件 ID:4648 和 4624。
审计进程跟踪将为您提供有关进程及其创建/终止的信息。由此创建的事件 ID:4688。
另外,查看事件 ID 4696,了解何时将新令牌(用户登录句柄)分配给进程。使用所有这些事件,您可以清楚地了解每个使用 UAC 对话框请求提升权限的进程的时间线。