通过注册表更改审核策略
m
我正在开发一个应用程序以读取审核事件日志条目。但是我被Windows 10 Home困在家用笔记本电脑上,无法启动gpedit.msc或启动secpol.msc。因此,我必须通过注册表启用登录审核事件。我想出了这个位置:
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv
这些是我发现的资源:
这是我当前的设置:
我应该如何更改设置以使登录成功记录到事件日志中?
在
我不确定Home版本是否具有auditpol.exe,但如果包含,则此命令将为所有与登录有关的活动启用成功和失败审核:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
如果您确实想修改注册表,则可以利用发现的出色文档。(Microsoft版本已经过时了-适用于Windows NT,它没有审核子类别。)首先,您需要对注册表进行系统级访问。看来您已经做到了,但是对于其他所有人,都可以使用PsExec完成:
psexec -s -i regedit
(这将创建一个以SYSTEM身份运行的注册表编辑器的实例。)完成后,打开默认值HKLM\SECURITY\Policy\PolAdtEv。文档的第二页提供了控制每个子类别的位置。例如,登录从第22个字节开始,或者以十六进制(由注册表编辑器的侧边栏使用)开始16。在此屏幕截图中,我突出显示了控制登录的部分:
这些都是16位(两个字节)的值。00 00表示不审核,01 00表示成功审核,02 00表示失败审核,并且03 00表示所有审核。
因此,如果您要审核登录和注销成功,则可以将位置0x16处开始的数据替换为01 00 01 00。在上面的屏幕截图中,我打开了所有的审计功能。如果要整个“登录/注销”类别,则需要9 01 00s,因为有9个子类别。
您需要重新启动才能使更改生效。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
编辑于
相关文章
Related 相关文章
- 1
如何通过策略更新Windows(通过注册表)
- 2
通过注册表更改预设
- 3
如何删除注册表审核规则?
- 4
断开连接的用户的注册表审核
- 5
通过python更改注册表无法正常工作
- 6
通过注册表更改PPPoE DSL连接的代理设置
- 7
通过Windows注册表更改Windows中的声音方案
- 8
通过服务器2003的组策略应用注册表设置
- 9
寻找通过 WMI 读取的注册表
- 10
在C中更改注册表值
- 11
如何从注册表更改高级设置
- 12
从注册表更改CPU MHz
- 13
如何永久更改Windows注册表?
- 14
如何批量更改注册表值
- 15
是否可以通过注册表(而非组策略)为Windows Home Edition上的用户控制“设备安装限制”?
- 16
通过命令行(批处理文件)更改注册表权限
- 17
如何通过注册表或命令行更改电源选项?
- 18
NPM 在“审核修复”上引发错误 - 不支持配置的注册表
- 19
通过更改注册表设置来启用RDP仅在以前多次启用RDP时有效
- 20
通过注册表,组策略禁用Windows Defender,将其重命名为文件夹或从%SystemRoot%中删除它均不起作用,如何解决?
- 21
Docker:通过IP地址参考注册表
- 22
通过Windows注册表安装Chrome扩展程序
- 23
如何通过C#编辑远程注册表
- 24
通过Windows注册表从商店安装扩展
- 25
如何通过C#编辑远程注册表
- 26
通过注册表配置Windows Creators Update Night Light
- 27
每台计算机通过注册表禁用ADAL
- 28
无法通过注册表安装Firefox扩展
- 29
使用命令行更改注册表
我来说两句