通过注册表更改审计策略

Question

我正在开发一个应用程序来读取审计事件日志条目。但是我的家用笔记本电脑被困在装有Windows 10 Home 的家用笔记本上，无法启动 gpedit.msc或secpol.msc. 因此，我必须通过注册表启用登录审核事​​件。我想出了这个位置：

HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv

这些是我找到的资源：

• 如何从注册表确定审计策略
• 审计其他登录/注销事件
• 审计策略注册表格式

这是我当前的设置：

我应该如何更改设置以将登录成功记录到事件日志中？

Answer 1

我不确定家庭版是否有auditpol.exe，但如果有，此命令将为所有与登录相关的活动启用成功和失败审核：

auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable

如果你真的想重击注册表，你可以利用你找到的那个优秀的文档。（Microsoft 的已经过时了——它用于 Windows NT，它没有审计子类别。）您首先需要对注册表进行系统级访问。看起来你已经做到了，但对于其他人来说，它可以通过PsExec来完成：

psexec -s -i regedit

（这会创建一个以 SYSTEM 身份运行的注册表编辑器实例。）完成后，打开HKLM\SECURITY\Policy\PolAdtEv. 文档的第二页给出了控制每个子类别的位置。例如，登录从第 22 个字节开始，或者以十六进制（由注册表编辑器的侧边栏使用）16。在此屏幕截图中，我突出显示了控制登录的部分：

这些都是 16 位（两字节）值。00 00表示不审核，01 00表示成功审核，02 00表示失败审核，03 00表示全部审核。

因此，如果您想审核登录和注销成功，您可以将位置 0x16 处开始的数据替换为01 00 01 00. 在上面的屏幕截图中，我为这些打开了所有审计。如果您想要整个登录/注销类别，则需要九个01 00s，因为有九个子类别。

您需要重新启动才能使更改生效。