Existe uma ferramenta de linha de comando para habilitar a auditoria de eventos de logon / logoff do usuário no Windows?

1

Eu sei que você pode fazer isso a partir do editor de política de segurança local, mas eu quero uma ferramenta de linha de comando que eu possa executar a partir de um script automatizado. Eu preciso disso para o Windows XP e clientes acima.

Pergunta de bônus (meio filosófica): por que a auditoria de logon / logoff de usuários não está ativada por padrão no Windows? Está registrando muitas outras coisas por padrão que são menos úteis (IMO), por que não isso?

    
por DSO 18.07.2009 / 02:15

1 resposta

3

A Auditpol fará isso por você - por exemplo,

auditpol / set / subcategory: "Logoff" / sucesso: ativar / falha: ativar

auditpol / set / subcategory: "Logon" / sucesso: ativar / falha: ativar

Quanto à sua questão de bônus, eu suspeito que seja uma desvantagem em termos de sobrecarga do sistema versus utilidade. Logon \ logoff eventos são muito comuns em sistemas Windows - em um domínio típico com muita coisa ligada, pode haver muitos milhares por dia, estou olhando para um sistema agora que tem um par a cada segundo ou assim. Esses não são todos logons interativos, obviamente, mas qualquer coisa que precise invocar privilégios ou executar em um determinado contexto de segurança precisa ser feita com logon e logoff, para que haja muito disso acontecendo. Logar eventos de logon de usuário interativos "apropriados" só pode parecer útil como padrão, mas ter participado de alguma pesquisa sobre logs de segurança em meu dia, minha visão é que é uma boa idéia registrar essas coisas em um tudo ou nada sentido - encontramos um usuário pobre que estava sendo digitado por algo que acabou sendo outra pessoa [abusando de privilégios] iniciando remotamente o processo ofensivo no sistema de suspeitos.

    
por 18.07.2009 / 03:08