Ich bin nicht sicher, ob die Home-Edition vorhanden ist auditpol.exe
, aber wenn dies der Fall ist, wird mit diesem Befehl die Erfolgs- und Fehlerüberwachung für alle Aktivitäten im Zusammenhang mit der Anmeldung ermöglicht:
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
Wenn Sie die Registry wirklich verprügeln möchten, können Sie das ausgezeichnete Dokument nutzen, das Sie gefunden haben. (Die Microsoft-Version ist veraltet - es ist für Windows NT, das keine Überwachungsunterkategorien hatte.) Sie benötigen zunächst Zugriff auf die Registrierung auf Systemebene. Es sieht so aus, als hätten Sie das bereits geschafft, aber für alle anderen ist PsExec möglich :
psexec -s -i regedit
(Dadurch wird eine Instanz des Registrierungs-Editors als SYSTEM erstellt.) Öffnen Sie anschließend den Standardwert von HKLM\SECURITY\Policy\PolAdtEv
. Die zweite Seite des Dokuments enthält die Positionen, die die einzelnen Unterkategorien steuern. Beispielsweise beginnt Logon beim 22. Byte oder in Hex (von der Seitenleiste des Registrierungs-Editors verwendet), 16. In diesem Screenshot habe ich den Teil hervorgehoben, der die Anmeldung steuert:
Dies sind alle 16-Bit-Werte (zwei Byte). 00 00
bedeutet keine Prüfung, 01 00
bedeutet Erfolgsprüfung, 02 00
bedeutet Fehlerprüfung und 03 00
bedeutet alle Prüfung.
Wenn Sie also die Anmelde- und Abmeldeerfolge überprüfen möchten, würden Sie die an Position 0x16 gestarteten Daten durch ersetzen 01 00 01 00
. Im obigen Screenshot habe ich alle Audits für diese aktiviert. Wenn Sie die gesamte Anmelde- / Abmeldungskategorie wünschen, benötigen Sie neun Sekunden, 01 00
da es neun Unterkategorien gibt.
Sie müssen einen Neustart durchführen, damit die Änderungen wirksam werden.