Share via

enumerazione POLICY_AUDIT_EVENT_TYPE (ntsecapi.h)

  • Articolo

L'enumerazione POLICY_AUDIT_EVENT_TYPE definisce i valori che indicano i tipi di eventi che il sistema può controllare. Le funzioni LsaQueryInformationPolicy e LsaSetInformationPolicy usano questa enumerazione quando i parametri InformationClass sono impostati su PolicyAuditEventsInformation.

Sintassi

typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem = 0,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

Costanti

 
AuditCategorySystem
Valore: 0
Determina se il sistema operativo deve controllare uno dei tentativi seguenti:


  • Modifica dell'ora di sistema tentata.

  • Tentativo di avvio, riavvio o arresto del sistema di sicurezza.

  • Provare a caricare le funzionalità di autenticazione estendibili.

  • Perdita di eventi controllati a causa dell'errore del sistema di controllo.

  • Dimensioni del log di sicurezza che superano un livello di soglia di avviso configurabile.
AuditCategoryLogon
Determina se il sistema operativo deve controllare ogni volta che questo computer convalida le credenziali di un account. Gli eventi di accesso dell'account vengono generati ogni volta che un computer convalida le credenziali di uno dei relativi account locali. La convalida delle credenziali può essere supportata da un accesso locale o, nel caso di un account di dominio Active Directory in un controller di dominio, può essere supportato da un accesso a un altro computer. Gli eventi controllati per gli account locali devono essere registrati nel log di sicurezza locale del computer. Il logoff dell'account non genera un evento che può essere controllato.
AuditCategoryObjectAccess
Determina se il sistema operativo deve controllare ogni istanza dell'utente tenta di accedere a un oggetto non Active Directory, ad esempio un file, con un proprio elenco di controllo di accesso del sistema (SACL) specificato. Tipo di richiesta di accesso, ad esempio Write, Read o Modify e l'account che effettua la richiesta deve corrispondere alle impostazioni in SACL.
AuditCategoryPrivilegeUse
Determina se il sistema operativo deve controllare ogni istanza dell'utente tenta di usare i privilegi.
AuditCategoryDetailedTracking
Determina se il sistema operativo deve controllare eventi specifici, ad esempio l'attivazione del programma, alcune forme di duplicazione di handle, l'accesso indiretto a un oggetto e l'uscita dal processo.
AuditCategoryPolicyChange
Determina se il sistema operativo deve controllare i tentativi di modifica delle regole dell'oggetto Criteri , ad esempio criteri di assegnazione dei diritti utente, criteri di controllo, criteri di account o criteri di attendibilità.
AuditCategoryAccountManagement
Determina se il sistema operativo deve controllare i tentativi di creazione, eliminazione o modifica degli account utente o gruppo. Inoltre, controllare le modifiche apportate alla password.
AuditCategoryDirectoryServiceAccess
Determina se il sistema operativo deve controllare i tentativi di accesso al servizio directory. L'oggetto Active Directory ha un proprio SACL specificato. Tipo di richiesta di accesso, ad esempio Write, Read o Modify e l'account che effettua la richiesta deve corrispondere alle impostazioni in SACL.
AuditCategoryAccountLogon
Determina se il sistema operativo deve controllare ogni istanza di un utente che tenta di accedere o disconnettersi dal computer. Controlla anche i tentativi di accesso da parte di account con privilegi che accedono al controller di dominio. Questi eventi di controllo vengono generati quando il Centro distribuzione chiavi Kerberos (KDC) accede al controller di dominio. I tentativi di disconnessione vengono generati ogni volta che viene terminata la sessione di accesso di un account utente connesso.

Commenti

L'enumerazione POLICY_AUDIT_EVENT_TYPE può espandersi nelle versioni future di Windows. A causa di questo, non è consigliabile calcolare direttamente il numero di valori in questa enumerazione. È invece necessario ottenere il conteggio dei valori chiamando LsaQueryInformationPolicy con il parametro InformationClass impostato su PolicyAuditEventsInformation ed estrarre il conteggio dal membro MaximumAuditEventCount della struttura POLICY_AUDIT_EVENTS_INFO restituita.

Requisiti

Requisito Valore
Client minimo supportato Windows XP [solo app desktop]
Server minimo supportato Windows Server 2003 [solo app desktop]
Intestazione ntsecapi.h

Vedi anche

LsaQueryInformationPolicy

LsaSetInformationPolicy

POLICY_INFORMATION_CLASS