尽管审计策略应该抑制这些条目,但我在 2008 R2 服务器上收到大量 5061 和 5058 条目。为什么?
auditpol /get /category:*
返回以下内容。
System
....
Other System Events No Auditing
....
根据我的阅读Windows 安全审核的新增功能这应该是负责记录‘加密密钥文件和迁移操作’相关内容的策略。
这些事件来自于Microsoft Software Key Storage Provider
并且都集中于打开和管理密钥,因此听起来这应该包含在此处定义的审计策略中。
我遗漏了什么?我确信第三级“强制审核策略子类别设置”已启用 - 注册表项是正确的。