在尝试测试文件系统对象上的 SACL 创建时,我注意到它没有记录到事件日志中。经过一番挖掘,我发现必须翻转本地安全策略中的“主开关”才能记录条目。因此,我为“审核对象访问”启用了成功和失败日志记录。
然而,当我检查事件日志时,它被我甚至没有启用的审核事件所淹没!防火墙故障、\Windows32 文件访问、大量其他随机审核条目开始涌入安全日志,而之前它们并没有出现过。
所以,我的问题是,Windows 是否附带一组预定义的 SACL,当您激活此“主开关”时,它们会激活吗?我可以获得它们的列表和/或选择添加/删除它们吗?
答案1
您为什么不尝试使用高级审计策略配置节点?
有关高级审计策略配置的详细信息,请参阅http://go.microsoft.com/fwlink/?LinkId=140969
您可以使用文件系统对象的“属性”对话框中的“安全”选项卡在该对象上设置 SACL。单击“高级”按钮,然后转到“审核”选项卡。您可以在那里编辑审核条目。
此外,您始终可以在事件查看器中过滤当前日志。