我正在开发一个应用程序以读取审核事件日志条目。但是我被Windows 10 Home困在家用笔记本电脑上,无法启动gpedit.msc
或启动secpol.msc
。因此,我必须通过注册表启用登录审核事件。我想出了这个位置:
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv
这些是我发现的资源:
这是我当前的设置:
我应该如何更改设置以使登录成功记录到事件日志中?
我不确定Home版本是否具有auditpol.exe
,但如果包含,则此命令将为所有与登录有关的活动启用成功和失败审核:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
如果您确实想修改注册表,则可以利用发现的出色文档。(Microsoft版本已经过时了-适用于Windows NT,它没有审核子类别。)首先,您需要对注册表进行系统级访问。看来您已经做到了,但是对于其他所有人,都可以使用PsExec完成:
psexec -s -i regedit
(这将创建一个以SYSTEM身份运行的注册表编辑器的实例。)完成后,打开默认值HKLM\SECURITY\Policy\PolAdtEv
。文档的第二页提供了控制每个子类别的位置。例如,登录从第22个字节开始,或者以十六进制(由注册表编辑器的侧边栏使用)开始16。在此屏幕截图中,我突出显示了控制登录的部分:
这些都是16位(两个字节)的值。00 00
表示不审核,01 00
表示成功审核,02 00
表示失败审核,并且03 00
表示所有审核。
因此,如果您要审核登录和注销成功,则可以将位置0x16处开始的数据替换为01 00 01 00
。在上面的屏幕截图中,我打开了所有的审计功能。如果要整个“登录/注销”类别,则需要9 01 00
s,因为有9个子类别。
您需要重新启动才能使更改生效。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句