我被要求查找我们的一台 Windows 服务器是否启用了审核,以访问密码哈希文件或用于身份验证的其他文件。
是否有人知道是否有日志记录或审核功能来记录在 Windows Server 2008 R2 上用于身份验证的密码哈希文件和其他文件的成功/失败访问?
答案1
通过 GPO,您可以激活许多事物的审计。为此,请转到:
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy
之后,您将能够转到相关文件的属性并配置审核。结果将显示在 Windows 日志中。