Ändern Sie die Überwachungsrichtlinie über die Registry

6125
grmbl

Ich entwickle eine Anwendung, um Audit-Ereignisprotokolleinträge zu lesen. Aber ich stecke auf meinem Heimnotebook mit Windows 10 Home und kann gpedit.mscoder kann nicht gestartet werden secpol.msc. Daher muss ich Anmeldungsprüfungsereignisse über die Registrierung aktivieren. Ich habe mir diesen Ort ausgedacht:

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv 

Dies sind die Ressourcen, die ich gefunden habe:

Dies ist meine aktuelle Einstellung:

contents of that Registry value

Wie kann ich die Einstellung ändern, damit Anmeldungserfolge im Ereignisprotokoll protokolliert werden?

4
"Ich stecke aber auf meinem Heimnotebook mit Windows 10 Home fest, weil ich gpedit.msc nicht starten kann" - nicht richtig. Siehe meine Fragen und Antworten. [Windows Starter Edition, Home und Home Premium enthalten gpedit nicht. Wie installiere ich es? ] (http://superuser.com/q/1018145) DavidPostill vor 7 Jahren 1
Siehe auch eine andere Antwort von mir [Überwachungsrichtlinieneinstellungen können in Windows 8.1 nicht festgelegt werden, egal was ich mache] (http://superuser.com/a/996978). Diese zeigt mit Screenshots, wie die Überwachungsrichtlinien für die Anmeldung festgelegt werden. DavidPostill vor 7 Jahren 0
Seltsam, dass das Tool auf deviantart gehostet wird .. Und ich bin mir nicht sicher, ob das Tool (angeblich für Windows XP) meine Registrierungseinstellung nicht brechen wird ... Also warte ich auf eine vertrauenswürdigere Antwort. grmbl vor 7 Jahren 0
Es wurde unter Windows 10 von einem hochrangigen Benutzer [Moab] (http://superuser.com/users/40928/moab) getestet und als funktionsfähig bestätigt. DavidPostill vor 7 Jahren 0
Lesen Sie auch die Kommentare zu http://www.askvg.com/how-to-enable-group-policy-editor-gpedit-msc-in-windows-7-home-premium-home-basic-und-starter-editions/ (der Quelllink). Viele Bestätigungen, dass es funktioniert. DavidPostill vor 7 Jahren 0
Ich weiß, dass ich vielleicht ein bisschen paranoid klingt, aber die Quelle ist nicht IMO vertrauenswürdig, egal was ich von inoffiziellen Patches abhalte. Danke trotzdem grmbl vor 7 Jahren 0

1 Antwort auf die Frage

4
Ben N

Ich bin nicht sicher, ob die Home-Edition vorhanden ist auditpol.exe, aber wenn dies der Fall ist, wird mit diesem Befehl die Erfolgs- und Fehlerüberwachung für alle Aktivitäten im Zusammenhang mit der Anmeldung ermöglicht:

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable 

Wenn Sie die Registry wirklich verprügeln möchten, können Sie das ausgezeichnete Dokument nutzen, das Sie gefunden haben. (Die Microsoft-Version ist veraltet - es ist für Windows NT, das keine Überwachungsunterkategorien hatte.) Sie benötigen zunächst Zugriff auf die Registrierung auf Systemebene. Es sieht so aus, als hätten Sie das bereits geschafft, aber für alle anderen ist PsExec möglich :

psexec -s -i regedit 

(Dadurch wird eine Instanz des Registrierungs-Editors als SYSTEM erstellt.) Öffnen Sie anschließend den Standardwert von HKLM\SECURITY\Policy\PolAdtEv. Die zweite Seite des Dokuments enthält die Positionen, die die einzelnen Unterkategorien steuern. Beispielsweise beginnt Logon beim 22. Byte oder in Hex (von der Seitenleiste des Registrierungs-Editors verwendet), 16. In diesem Screenshot habe ich den Teil hervorgehoben, der die Anmeldung steuert:

the Logon control

Dies sind alle 16-Bit-Werte (zwei Byte). 00 00bedeutet keine Prüfung, 01 00bedeutet Erfolgsprüfung, 02 00bedeutet Fehlerprüfung und 03 00bedeutet alle Prüfung.

Wenn Sie also die Anmelde- und Abmeldeerfolge überprüfen möchten, würden Sie die an Position 0x16 gestarteten Daten durch ersetzen 01 00 01 00. Im obigen Screenshot habe ich alle Audits für diese aktiviert. Wenn Sie die gesamte Anmelde- / Abmeldungskategorie wünschen, benötigen Sie neun Sekunden, 01 00da es neun Unterkategorien gibt.

Sie müssen einen Neustart durchführen, damit die Änderungen wirksam werden.

Erstaunlich, danke für diese klare Antwort! grmbl vor 7 Jahren 0