カーネル オブジェクトの監査

Audit Kernel Object は、ユーザーがミューテックスとセマフォを含むシステム カーネルにアクセスしようとするときに、オペレーティング システムが監査イベントを生成するかどうかを決定します。

一致するシステム アクセス制御リスト(SACL)を持つカーネル オブジェクトだけが、セキュリティ監査イベントを生成します。 生成される監査は、通常、開発者にのみ役立ちます。

通常、カーネル オブジェクトには、AuditBaseObjects または AuditBaseDirectories 監査オプションが有効になっている場合にのみ、SACL が与えられる。

"監査: グローバル システム オブジェクトへのアクセスを監査する" ポリシー設定は、カーネル オブジェクトの既定の SACL を制御します。

イベント ボリューム: 高。

コンピューターの種類 一般的な成功 一般的なエラー より強力な成功 より強力なエラー コメント
ドメイン コントローラー なし なし なし なし 通常、Kernel オブジェクト監査イベントのセキュリティの関連性はほとんどないし、解析や分析が難しい。 また、これらのイベントのボリュームは、通常、非常に高いです。
カーネル オブジェクト レベルで監視する必要がある情報を正確に知らない限り、このサブカテゴリを有効にする推奨事項はありません。
メンバー サーバー なし なし なし なし 通常、Kernel オブジェクト監査イベントのセキュリティの関連性はほとんどないし、解析や分析が難しい。 また、これらのイベントのボリュームは、通常、非常に高いです。
カーネル オブジェクト レベルで監視する必要がある情報を正確に知らない限り、このサブカテゴリを有効にする推奨事項はありません。
ワークステーション なし なし なし なし 通常、Kernel オブジェクト監査イベントのセキュリティの関連性はほとんどないし、解析や分析が難しい。 また、これらのイベントのボリュームは、通常、非常に高いです。
カーネル オブジェクト レベルで監視する必要がある情報を正確に知らない限り、このサブカテゴリを有効にする推奨事項はありません。

イベントリスト:

  • 4656(S, F): オブジェクトへのハンドルが要求されました。

  • 4658(S): オブジェクトのハンドルが閉じられました。

  • 4660(S): オブジェクトが削除されました。

  • 4663(S): オブジェクトへのアクセスが試行された。