我可以使用 Windows 事件查看器来获取非常细粒度的访问控制失败吗?

我可以使用 Windows 事件查看器来获取非常细粒度的访问控制失败吗?

我是一名浏览器 (Firefox) 开发人员,我正在使用受限令牌来进一步锁定我们的沙盒。我正在从内容进程中删除一个 SID,这会破坏一些东西。如果 Windows 能告诉我(尽可能详细),那么识别它破坏的具体内容会容易得多任何应用程序执行的函数调用由于没有权限执行[任何操作]而失败。

是否可以让事件查看器列出应用程序进行的每个失败的访问控制检查?

(我查看了事件查看器中“Windows”下的应用程序/安全日志,但其中没有包含任何内容。)

答案1

是否可以让事件查看器列出应用程序进行的每个失败的访问控制检查?

事件日志不会生成要记录的事件。您需要为要记录的操作启用审核日志记录。

您可以使用组策略或计算机的本地安全策略启用审核。

答案2

思考答案是肯定的,通过将“审计对象访问”设置为失败(或全部)

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-object-access

相关内容