Ao tentar testar a criação da SACL em um objeto do sistema de arquivos, notei que ele não estava fazendo o log no log de eventos. Depois de algumas escavações, descobri que precisava inverter a "chave mestra" na Política de segurança local para que as entradas fossem registradas. Por isso, habilitei o log de êxito e falha para "Acesso ao objeto de auditoria".
Quando eu verifiquei o log de eventos, no entanto, ele estava sendo enviado por eventos de auditoria para coisas que eu nem tinha habilitado! Falhas de firewall, acessos a arquivos \ Windows32, uma série de outras entradas de auditoria aleatórias começaram a aparecer no log de segurança onde elas não tinham antes.
Então, minha pergunta é: o Windows é enviado com um conjunto predefinido de SACLs que são ativados quando você ativa esse "Interruptor principal?" Posso obter uma lista deles e / ou optar por adicioná-los / removê-los?
Por que você não tenta usar o nó Configuração de política de auditoria avançada?
Para obter mais informações sobre a Configuração avançada da política de auditoria, consulte o link
Você pode definir uma SACL em um objeto de sistema de arquivos usando a guia Segurança na caixa de diálogo Propriedades desse objeto. Clique no botão Avançado e vá para a guia Auditoria. Você pode editar entradas de auditoria lá.
Além disso, você sempre pode filtrar o log atual no Visualizador de eventos.
Tags windows filesystems audit