Share via

POLICY_AUDIT_EVENT_TYPE-Enumeration (ntsecapi.h)

  • Artikel

Die POLICY_AUDIT_EVENT_TYPE-Enumeration definiert Werte, die die Typen von Ereignissen angeben, die das System überwachen kann. Die Funktionen LsaQueryInformationPolicy und LsaSetInformationPolicy verwenden diese Enumeration, wenn ihre InformationClass-Parameter auf PolicyAuditEventsInformation festgelegt sind.

Syntax

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Konstanten

 
AuditCategorySystem
Wert: 0
Bestimmt, ob das Betriebssystem einen der folgenden Versuche überwachen muss:


  • Versucht, die Systemzeit zu ändern.

  • Es wurde versucht, das Sicherheitssystem zu starten, neu zu starten oder herunterzufahren.

  • Versuchen Sie, erweiterbare Authentifizierungsfeatures zu laden.

  • Verlust von überwachten Ereignissen aufgrund eines Überwachungssystemfehlers.

  • Sicherheitsprotokollgröße, die eine konfigurierbare Warnungsschwellenstufe überschreitet.
AuditCategoryLogon
Bestimmt, ob das Betriebssystem jedes Mal überwachen muss, wenn dieser Computer die Anmeldeinformationen eines Kontos überprüft. Kontoanmeldungsereignisse werden immer dann generiert, wenn ein Computer die Anmeldeinformationen eines seiner lokalen Konten überprüft. Die Überprüfung der Anmeldeinformationen kann eine lokale Anmeldung unterstützen oder im Fall eines Active Directory-Domänenkontos auf einem Domänencontroller eine Anmeldung bei einem anderen Computer unterstützen. Überwachte Ereignisse für lokale Konten müssen im lokalen Sicherheitsprotokoll des Computers protokolliert werden. Die Kontoabmeldung generiert kein Ereignis, das überwacht werden kann.
AuditCategoryObjectAccess
Bestimmt, ob das Betriebssystem jeden instance von Benutzerversuchen überwachen muss, um auf ein Nicht-Active Directory-Objekt zuzugreifen, z. B. eine Datei, für die eine eigene Systemzugriffssteuerungsliste (System Access Control List, SACL) angegeben ist. Der Typ der Zugriffsanforderung, z. B. Schreiben, Lesen oder Ändern, und das Konto, das die Anforderung stellt, müssen mit den Einstellungen in der SACL übereinstimmen.
AuditCategoryPrivilegeUse
Bestimmt, ob das Betriebssystem jede instance von Benutzerversuchen überwachen muss, um Berechtigungen zu verwenden.
AuditCategoryDetailedTracking
Bestimmt, ob das Betriebssystem bestimmte Ereignisse überwachen muss, z. B. programmaktivierung, einige Formen von Handleduplizierung, indirekter Zugriff auf ein Objekt und Beenden des Prozesses.
AuditCategoryPolicyChange
Bestimmt, ob das Betriebssystem Versuche überwachen muss, Richtlinienobjektregeln zu ändern, z. B. Richtlinie für die Zuweisung von Benutzerrechten, Überwachungsrichtlinie, Kontorichtlinie oder Vertrauensrichtlinie.
AuditCategoryAccountManagement
Bestimmt, ob das Betriebssystem Versuche zum Erstellen, Löschen oder Ändern von Benutzer- oder Gruppenkonten überwachen muss. Überwachen Sie außerdem Kennwortänderungen.
AuditCategoryDirectoryServiceAccess
Bestimmt, ob das Betriebssystem Versuche für den Zugriff auf den Verzeichnisdienst überwachen muss. Für das Active Directory-Objekt ist eine eigene SACL angegeben. Der Typ der Zugriffsanforderung, z. B. Schreiben, Lesen oder Ändern, und das Konto, das die Anforderung stellt, müssen mit den Einstellungen in der SACL übereinstimmen.
AuditCategoryAccountLogon
Bestimmt, ob das Betriebssystem jeden instance eines Benutzers überwachen muss, der versucht, sich auf diesem Computer anzumelden oder abzumelden. Überwacht außerdem Anmeldeversuche von privilegierten Konten, die sich beim Domänencontroller anmelden. Diese Überwachungsereignisse werden generiert, wenn sich das Kerberos Key Distribution Center (KDC) beim Domänencontroller anmeldet. Abmeldungsversuche werden immer dann generiert, wenn die Anmeldesitzung eines angemeldeten Benutzerkontos beendet wird.

Hinweise

Die POLICY_AUDIT_EVENT_TYPE-Enumeration kann in zukünftigen Versionen von Windows erweitert werden. Aus diesem Fall sollten Sie die Anzahl der Werte in dieser Enumeration nicht direkt berechnen. Stattdessen sollten Sie die Anzahl der Werte abrufen, indem Sie LsaQueryInformationPolicy aufrufen, wobei der InformationClass-Parameter auf PolicyAuditEventsInformation festgelegt ist, und die Anzahl aus dem MaximumAuditEventCount-Member der zurückgegebenen POLICY_AUDIT_EVENTS_INFO-Struktur extrahieren.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile ntsecapi.h

Weitere Informationen

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS