As janelas registram qual usuário do domínio admin autorizou um evento

0

Por exemplo, se um usuário padrão quisesse realizar uma instalação de software que exigiria direitos de administrador, as credenciais de administrador teriam que ser usadas para autorizar a ação. O Windows ou o Active Directory também mantêm um log da conta de administrador usada para autorizar a instalação? Se sim, onde você procuraria obter as informações?

Nota: O serviço de diretório ativo está sendo executado no Windows Server 2008, os clientes são principalmente o Windows 10 Pro

    
por ZamEasterner 22.11.2017 / 14:40

1 resposta

0

A auditoria do Uac é feita alterando a política do Windows (Local \ Group). A política em questão é encontrada em: Configuração do Computador \ Políticas \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Política de Auditoria

Uso de privilégios de auditoria fornecerá informações sobre o uso elevado usando a caixa de diálogo UAC consent.exe no log de eventos do sistema. Os IDs de Eventos criados por este: 4648 e 4624.

O Controle do processo de auditoria fornece informações sobre os processos e sua criação / rescisão. Id do evento criado por isso: 4688.

Além disso, observe o ID de evento 4696 para ver quando um novo token (identificador de logon de usuário) foi atribuído ao processo. Usando todos esses eventos, você pode obter uma imagem clara da linha do tempo para cada processo que solicitou direitos elevados com a caixa de diálogo do UAC.

    
por 23.11.2017 / 08:53