审核内核对象
面向 IT 专业人员的本主题介绍高级安全审核策略设置“审核内核对象”,该策略设置确定操作系统是否在用户尝试访问包含互斥和信号灯的系统内核时生成审核事件。
仅具有匹配系统访问控制列表 (SACL) 的内核对象才能生成安全审核事件。生成的审核通常仅适用于开发人员。
一般来说,仅当 AuditBaseObjects 或 AuditBaseDirectories 审核选项启用时,才会向内核对象分配 SACL。
注意
审核: 对全局系统对象的访问进行审核策略设置用来控制内核对象的默认 SACL。
事件量:如果启用了其中一种全局对象访问审核设置,则很高
默认设置:未配置
事件 ID | 事件消息 |
---|---|
4659 |
已请求删除对象的句柄。 |
4660 |
对象已删除。 |
4661 |
已请求对象的句柄。 |
4663 |
已尝试访问对象。 |