Compartilhar via


Política CSP - Auditoria

AccountLogon_AuditCredentialValidation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation

Esta definição de política permite-lhe auditar eventos gerados por testes de validação nas credenciais de início de sessão da conta de utilizador. Os eventos nesta subcategoria ocorrem apenas no computador que é autoritativo para essas credenciais. Para contas de domínio, o controlador de domínio é autoritativo. Para contas locais, o computador local é autoritativo.

Volume: elevado em controladores de domínio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Validação de Credenciais de Auditoria
Caminho Definições de Segurança definições > do Windows Configuração > de Política de > Auditoria Avançada Políticas de Auditoria Políticas > de Auditoria Conta de Início de Sessão

AccountLogon_AuditKerberosAuthenticationService

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService

Esta definição de política permite-lhe auditar eventos gerados por pedidos de permissão de autenticação Kerberos (TGT).

  • Se configurar esta definição de política, será gerado um evento de auditoria após um pedido TGT de autenticação Kerberos. As auditorias com êxito registam pedidos bem-sucedidos e as auditorias de falha registam pedidos sem êxito.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria após um pedido TGT de autenticação Kerberos.

Volume: elevado em servidores do Centro de Distribuição de Chaves Kerberos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do serviço de autenticação Kerberos
Caminho Definições de Segurança definições > do Windows Configuração > de Política de > Auditoria Avançada Políticas de Auditoria Políticas > de Auditoria Conta de Início de Sessão

AccountLogon_AuditKerberosServiceTicketOperations

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations

Esta definição de política permite-lhe auditar eventos gerados por pedidos de permissão de autenticação Kerberos (TGT) submetidos para contas de utilizador.

  • Se configurar esta definição de política, é gerado um evento de auditoria depois de ser pedido um TGT de autenticação Kerberos para uma conta de utilizador. As auditorias com êxito registam pedidos bem-sucedidos e as auditorias de falha registam pedidos sem êxito.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria depois de um TGT de autenticação Kerberos ser solicitado para uma conta de utilizador.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria das operações do tíquete de serviço Kerberos
Caminho Definições de Segurança definições > do Windows Configuração > de Política de > Auditoria Avançada Políticas de Auditoria Políticas > de Auditoria Conta de Início de Sessão

AccountLogon_AuditOtherAccountLogonEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents

Esta definição de política permite-lhe auditar eventos gerados por respostas a pedidos de credenciais submetidos para um início de sessão de conta de utilizador que não são validação de credenciais ou permissões Kerberos. Atualmente, não existem eventos nesta subcategoria.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de outros eventos de logon de conta
Caminho Definições de Segurança definições > do Windows Configuração > de Política de > Auditoria Avançada Políticas de Auditoria Políticas > de Auditoria Conta de Início de Sessão

AccountLogonLogoff_AuditAccountLockout

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout

Esta definição de política permite-lhe auditar eventos gerados por uma tentativa falhada de iniciar sessão numa conta bloqueada. Se configurar esta definição de política, é gerado um evento de auditoria quando uma conta não consegue iniciar sessão num computador porque a conta está bloqueada. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas. Os eventos de início de sessão são essenciais para compreender a atividade do utilizador e detetar potenciais ataques.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Bloqueio de Conta
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditGroupMembership

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership

Esta política permite-lhe auditar as informações de associação ao grupo no token de início de sessão do utilizador. Os eventos nesta subcategoria são gerados no computador no qual é criada uma sessão de início de sessão. Para um início de sessão interativo, o evento de auditoria de segurança é gerado no computador no qual o utilizador iniciou sessão. Para um início de sessão de rede, como aceder a uma pasta partilhada na rede, o evento de auditoria de segurança é gerado no computador que aloja o recurso. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Também tem de ativar a definição Auditar Início de Sessão em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Início de Sessão/Início de Sessão. Vários eventos são gerados caso as informações de associação a um grupo não caibam em um único evento de auditoria de segurança.

Volume: baixo num computador cliente. Médio num controlador de domínio ou num servidor de rede.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria da associação a um grupo
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditIPsecExtendedMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode

Esta definição de política permite-lhe auditar eventos gerados pelo protocolo IKE (Internet Key Exchange) e pelo Protocolo AuthIP (Authenticated Internet Protocol) durante as negociações do Modo Expandido.

  • Se configurar esta definição de política, é gerado um evento de auditoria durante uma negociação do Modo Expandido IPsec. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria durante uma negociação do Modo Expandido IPsec.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Modo Estendido do IPsec
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditIPsecMainMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode

Esta definição de política permite-lhe auditar eventos gerados pelo protocolo IKE (Internet Key Exchange) e pelo Protocolo AuthIP (Authenticated Internet Protocol) durante as negociações do Modo Principal.

  • Se configurar esta definição de política, é gerado um evento de auditoria durante uma negociação do Modo Principal IPsec. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria durante uma negociação do Modo Principal IPsec.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Modo Principal do IPsec
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditIPsecQuickMode

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode

Esta definição de política permite-lhe auditar eventos gerados pelo protocolo IKE (Internet Key Exchange) e pelo Protocolo AuthIP (Authenticated Internet Protocol) durante as negociações do Modo Rápido. Se configurar esta definição de política, é gerado um evento de auditoria durante uma negociação do Modo Rápido IPsec. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas. Se não configurar esta definição de política, não será gerado nenhum evento de auditoria durante uma negociação do Modo Rápido IPsec.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Modo Rápido do IPsec
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditLogoff

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff

Esta definição de política permite-lhe auditar eventos gerados pelo encerramento de uma sessão de início de sessão. Estes eventos ocorrem no computador ao qual foi acedido. Para um início de sessão interativo, o evento de auditoria de segurança é gerado no computador no qual a conta de utilizador iniciou sessão.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando uma sessão de início de sessão é fechada. As auditorias de êxito registam tentativas bem-sucedidas de fechar sessões e As auditorias de falha registam tentativas falhadas de encerramento de sessões.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma sessão de início de sessão é fechada.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Logoff de Auditoria
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditLogon

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon

Esta definição de política permite-lhe auditar eventos gerados por tentativas de início de sessão da conta de utilizador no computador. Os eventos nesta subcategoria estão relacionados com a criação de sessões de início de sessão e ocorrem no computador ao qual foi acedido. Para um início de sessão interativo, o evento de auditoria de segurança é gerado no computador no qual a conta de utilizador iniciou sessão. Para um início de sessão de rede, como aceder a uma pasta partilhada na rede, o evento de auditoria de segurança é gerado no computador que aloja o recurso. Os seguintes eventos estão incluídos: Tentativas de início de sessão com êxito. Tentativas de início de sessão falhadas. Tentativas de início de sessão com credenciais explícitas. Este evento é gerado quando um processo tenta iniciar sessão numa conta ao especificar explicitamente as credenciais dessa conta. Normalmente, isto ocorre em configurações de início de sessão em lote, como tarefas agendadas ou quando utiliza o comando RUNAS. Os identificadores de segurança (SIDs) foram filtrados e não foram autorizados a iniciar sessão.

Volume: baixo num computador cliente. Médio num controlador de domínio ou num servidor de rede.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Logon de Auditoria
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditNetworkPolicyServer

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer

Esta definição de política permite-lhe auditar eventos gerados por PEDIDOS RADIUS (IAS) e Proteção de Acesso à Rede (NAP). Estes pedidos podem ser Conceder, Negar, Eliminar, Quarentena, Bloquear e Desbloquear.

  • Se configurar esta definição de política, é gerado um evento de auditoria para cada pedido de acesso de utilizador IAS e NAP. As auditorias com êxito registam pedidos de acesso de utilizador bem-sucedidos e as auditorias de falha registam tentativas falhadas.

  • Se não configurar estas definições de política, os pedidos de acesso de utilizador ias e NAP não serão auditados.

Volume: Médio ou Elevado no servidor NPS e IAS. Nenhum volume noutros computadores.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 3

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 (Predefinição) Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Servidor de Política de Rede
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditOtherLogonLogoffEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents

Esta definição de política permite-lhe auditar outros eventos relacionados com início de sessão/início de sessão que não estão abrangidos na definição de política "Início de Sessão/Início de Sessão", como o seguinte: interrupções de sessão dos Serviços de Terminal. Novas sessões dos Serviços de Terminal. Bloquear e desbloquear uma estação de trabalho. Invocar uma poupança de ecrã. Despedimento de uma poupança de ecrã. Deteção de um ataque de repetição de Kerberos, no qual um pedido Kerberos foi recebido duas vezes com informações idênticas. Esta condição pode ser causada por uma configuração incorreta da rede. Acesso a uma rede sem fios concedida a uma conta de utilizador ou computador. Acesso a uma rede 802.1x com fios concedida a uma conta de utilizador ou computador.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditar Outros Eventos de Início de Sessão
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditSpecialLogon

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon

Esta definição de política permite-lhe auditar eventos gerados por inícios de sessão especiais, como o seguinte: a utilização de um início de sessão especial, que é um início de sessão que tem privilégios equivalentes ao administrador e pode ser utilizado para elevar um processo para um nível mais elevado. Um início de sessão de um membro de um Grupo Especial. Os Grupos Especiais permitem-lhe auditar eventos gerados quando um membro de um determinado grupo tem sessão iniciada na sua rede. Pode configurar uma lista de identificadores de segurança de grupo (SIDs) no registo. Se algum desses SIDs for adicionado a um token durante o início de sessão e a subcategoria estiver ativada, é registado um evento. Para obter mais informações sobre esta funcionalidade, consulte o artigo 947223 na Base de Dados de Conhecimento Microsoft.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Logon Especial
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountLogonLogoff_AuditUserDeviceClaims

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims

Esta política permite-lhe auditar informações de afirmações de utilizadores e dispositivos no token de início de sessão do utilizador. Os eventos nesta subcategoria são gerados no computador no qual é criada uma sessão de início de sessão. Para um início de sessão interativo, o evento de auditoria de segurança é gerado no computador no qual o utilizador iniciou sessão. Para um início de sessão de rede, como aceder a uma pasta partilhada na rede, o evento de auditoria de segurança é gerado no computador que aloja o recurso. As afirmações de utilizador são adicionadas a um token de início de sessão quando as afirmações são incluídas com os atributos de conta de um utilizador no Active Directory. As afirmações de dispositivo são adicionadas ao token de início de sessão quando as afirmações são incluídas com os atributos de conta de computador de um dispositivo no Active Directory. Além disso, a identidade composta tem de ser ativada para o domínio e no computador onde o utilizador iniciou sessão. Quando essa definição é configurada, um ou mais eventos de auditoria de segurança são gerados para cada logon bem-sucedido. Também tem de ativar a definição Auditar Início de Sessão em Configuração de Política de Auditoria Avançada\Políticas de Auditoria do Sistema\Início de Sessão/Início de Sessão. São gerados vários eventos se as informações de afirmações do utilizador e do dispositivo não se ajustarem a um único evento de auditoria de segurança.

Volume: baixo num computador cliente. Médio num controlador de domínio ou num servidor de rede.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditar Afirmações de Dispositivo do Utilizador
Caminho Definições de Segurança definições > do Windows Políticas > de Auditoria Avançadas Configuração > do Sistema Políticas > de Auditoria Início de Sessão/Início de Sessão

AccountManagement_AuditApplicationGroupManagement

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement

Esta definição de política permite-lhe auditar eventos gerados por alterações a grupos de aplicações, como o seguinte: O grupo de aplicações é criado, alterado ou eliminado. O membro é adicionado ou removido de um grupo de aplicações.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar um grupo de aplicações. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando um grupo de aplicações é alterado.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do gerenciamento de grupo de aplicativos
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

AccountManagement_AuditComputerAccountManagement

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement

Esta definição de política permite-lhe auditar eventos gerados por alterações a contas de computador, como quando uma conta de computador é criada, alterada ou eliminada.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar uma conta de computador. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma conta de computador é alterada.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Gerenciamento de Conta de Computador
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

AccountManagement_AuditDistributionGroupManagement

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement

Esta definição de política permite-lhe auditar eventos gerados por alterações a grupos de distribuição, como o seguinte: O grupo de distribuição é criado, alterado ou eliminado. O membro é adicionado ou removido de um grupo de distribuição. O tipo de grupo de distribuição é alterado.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar um grupo de distribuição. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando um grupo de distribuição é alterado.

Observação

Os eventos nesta subcategoria são registados apenas em controladores de domínio.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Gerenciamento de Grupo de Distribuição
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

AccountManagement_AuditOtherAccountManagementEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents

Esta definição de política permite-lhe auditar eventos gerados por outras alterações de conta de utilizador que não estão abrangidas nesta categoria, como o seguinte: o hash de palavra-passe de uma conta de utilizador foi acedido. Normalmente, isto acontece durante uma migração de palavras-passe da Ferramenta de Gestão do Active Directory. A API de Verificação da Política de Palavras-passe foi chamada. As chamadas para esta função podem fazer parte de um ataque quando uma aplicação maliciosa testa a política para reduzir o número de tentativas durante um ataque de dicionário de palavras-passe. Alterações à Política de Grupo de Domínio Predefinida nos seguintes caminhos da Política de Grupo: Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Conta\Política de Palavra-passe Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Conta\Política de Bloqueio de Conta.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Outros Eventos de Gerenciamento de Contas
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

AccountManagement_AuditSecurityGroupManagement

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement

Esta definição de política permite-lhe auditar eventos gerados por alterações a grupos de segurança, como o seguinte: O grupo de segurança é criado, alterado ou eliminado. O membro é adicionado ou removido de um grupo de segurança. O tipo de grupo é alterado.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar um grupo de segurança. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando um grupo de segurança é alterado.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Gerenciamento de Grupo de Segurança
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

AccountManagement_AuditUserAccountManagement

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement

Esta definição de política permite-lhe auditar as alterações às contas de utilizador. Os eventos incluem o seguinte: uma conta de utilizador é criada, alterada, eliminada; nome mudado, desativado, ativado, bloqueado ou desbloqueado. A palavra-passe de uma conta de utilizador é definida ou alterada. É adicionado um identificador de segurança (SID) ao Histórico de SID de uma conta de utilizador. A palavra-passe do Modo de Restauro dos Serviços de Diretório está configurada. As permissões nas contas de utilizador administrativo são alteradas. São criadas cópias de segurança ou restauradas das credenciais do Gestor de Credenciais.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar uma conta de utilizador. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma conta de utilizador é alterada.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Gerenciamento de Conta de Usuário
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Gestão de Contas de Políticas > de Auditoria do Sistema

DetailedTracking_AuditDPAPIActivity

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity

Esta definição de política permite-lhe auditar eventos gerados quando são feitos pedidos de encriptação ou desencriptação na interface de aplicação de Proteção de Dados (DPAPI). O DPAPI é utilizado para proteger informações secretas, tais como informações de chave e palavra-passe armazenadas. Para obter mais informações sobre o DPAPI, veja Como Utilizar a Proteção de Dados.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é feito um pedido de encriptação ou desencriptação ao DPAPI. As auditorias com êxito registam pedidos bem-sucedidos e as auditorias de falha registam pedidos sem êxito.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando é feito um pedido de encriptação ou desencriptação à DPAPI.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Atividade DPAPI
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DetailedTracking_AuditPNPActivity

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity

Esta definição de política permite-lhe auditar quando o plug-and-play deteta um dispositivo externo.

  • Se configurar esta definição de política, é gerado um evento de auditoria sempre que o plug-and-play deteta um dispositivo externo. Somente auditorias com êxito são registradas para essa categoria.

  • Se você não definir essa configuração de política, nenhum evento de auditoria será gerado quando um dispositivo externo for detectado pelo Plug and Play.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria das atividades PNP
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DetailedTracking_AuditProcessCreation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation

Esta definição de política permite-lhe auditar eventos gerados quando um processo é criado ou iniciado. O nome da aplicação ou do utilizador que criou o processo também é auditado.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é criado um processo. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria quando é criado um processo.

Volume: depende da forma como o computador é utilizado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Criação de Processo
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DetailedTracking_AuditProcessTermination

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination

Esta definição de política permite-lhe auditar eventos gerados quando um processo termina.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando um processo termina. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando um processo termina.

Volume: depende da forma como o computador é utilizado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Terminação de Processo
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DetailedTracking_AuditRPCEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents

Esta definição de política permite-lhe auditar ligações de chamada de procedimento remoto (RPC) de entrada.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é tentada uma ligação RPC remota. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria quando é tentada uma ligação RPC remota.

Volume: elevado em servidores RPC.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Eventos de RPC
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DetailedTracking_AuditTokenRightAdjusted

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted

Esta definição de política permite-lhe auditar eventos gerados ao ajustar os privilégios de um token.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Direito de Token de Auditoria Ajustado
Caminho Definições de Segurança definições > do Windows Controlo Detalhado das Políticas > avançadas > de configuração > da política de auditoria do sistema

DSAccess_AuditDetailedDirectoryServiceReplication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication

Esta definição de política permite-lhe auditar eventos gerados pela replicação detalhada dos Serviços de Domínio do Active Directory (AD DS) entre controladores de domínio.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Replicação Detalhada do Serviço de Diretório
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas > de Auditoria do Sistema Acesso DS

DSAccess_AuditDirectoryServiceAccess

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess

Esta definição de política permite-lhe auditar eventos gerados quando um objeto dos Serviços de Domínio do Active Directory (AD DS) é acedido. Apenas os objetos do AD DS com uma lista de controlo de acesso ao sistema (SACL) correspondente são registados. Os eventos nesta subcategoria são semelhantes aos eventos do Acesso ao Serviço de Diretório disponíveis em versões anteriores do Windows.

Volume: elevado em controladores de domínio. Nenhum em computadores cliente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do acesso ao serviço de diretório
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas > de Auditoria do Sistema Acesso DS

DSAccess_AuditDirectoryServiceChanges

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges

Esta definição de política permite-lhe auditar eventos gerados por alterações a objetos nos Serviços de Domínio do Active Directory (AD DS). Os eventos são registados quando um objeto é criado, eliminado, modificado, movido ou não eliminado. Sempre que possível, os eventos registados nesta subcategoria indicam os valores antigos e novos das propriedades do objeto. Os eventos nesta subcategoria são registados apenas em controladores de domínio e apenas são registados objetos no AD DS com uma lista de controlo de acesso ao sistema (SACL) correspondente.

Observação

As ações em alguns objetos e propriedades não fazem com que os eventos de auditoria sejam gerados devido às definições na classe de objeto no esquema.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar um objeto no AD DS. As auditorias de êxito registam tentativas bem-sucedidas, mas as tentativas sem êxito NÃO são registadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando é efetuada uma tentativa de alterar um objeto no objeto do AD DS.

Volume: elevado apenas em controladores de domínio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Alterações no Serviço de Diretório
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas > de Auditoria do Sistema Acesso DS

DSAccess_AuditDirectoryServiceReplication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication

Esta definição de política permite-lhe auditar a replicação entre dois controladores de domínio do Active Directory Domain Services (AD DS).

  • Se configurar esta definição de política, é gerado um evento de auditoria durante a replicação do AD DS. As auditorias com êxito registam a replicação bem-sucedida e as auditorias de falha registam uma replicação sem êxito.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria durante a replicação do AD DS.

Volume: médio em controladores de domínio. Nenhum em computadores cliente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Replicação do Serviço de Diretório
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas > de Auditoria do Sistema Acesso DS

ObjectAccess_AuditApplicationGenerated

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated

Esta definição de política permite-lhe auditar aplicações que geram eventos com as interfaces de programação de aplicações (APIs) de Auditoria do Windows. As aplicações concebidas para utilizar a API de Auditoria do Windows utilizam esta subcategoria para registar eventos de auditoria relacionados com a respetiva função. Os eventos nesta subcategoria incluem: Criação de um contexto de cliente de aplicação. Eliminação de um contexto de cliente da aplicação. Inicialização de um contexto de cliente de aplicação. Outras operações de aplicação com as APIs de Auditoria do Windows.

Volume: depende das aplicações que as estão a gerar.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Aplicativo Gerado
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditCentralAccessPolicyStaging

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging

Esta definição de política permite-lhe auditar pedidos de acesso em que a permissão concedida ou negada por uma política proposta difere da política de acesso central atual num objeto. Se configurar esta definição de política, é gerado um evento de auditoria sempre que um utilizador acede a um objeto e a permissão concedida pela política de acesso central atual no objeto difere da concedida pela política proposta. O evento de auditoria resultante será gerado da seguinte forma: 1) As auditorias de êxito, quando configuradas, registam tentativas de acesso quando a política de acesso central atual concede acesso, mas a política proposta nega o acesso. 2) As auditorias de falha quando configuradas registam tentativas de acesso quando: a) A política de acesso central atual não concede acesso, mas a política proposta concede acesso. b) Um principal pede os direitos máximos de acesso permitidos e os direitos de acesso concedidos pela política de acesso central atual são diferentes dos direitos de acesso concedidos pela política proposta. Volume: potencialmente elevado num servidor de ficheiros quando a política proposta difere significativamente da política de acesso central atual.

Volume: potencialmente elevado num servidor de ficheiros quando a política proposta difere significativamente da política de acesso central atual.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do preparo da política de acesso central
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditCertificationServices

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices

Esta definição de política permite-lhe auditar as operações dos Serviços de Certificados do Active Directory (AD CS). As operações do AD CS incluem o seguinte: arranque/encerramento/cópia de segurança/restauro do AD CS. Alterações à lista de revogação de certificados (CRL). Novos pedidos de certificado. Emissão de um certificado. Revogação de um certificado. Alterações às definições do Gestor de Certificados do AD CS. Alterações na configuração do AD CS. Alterações a um modelo dos Serviços de Certificados. Importação de um certificado. A publicação de um certificado de autoridade de certificação é para os Serviços de Domínio do Active Directory. Alterações às permissões de segurança do AD CS. Arquivo de uma chave. Importação de uma chave. Obtenção de uma chave. Início do Serviço de Resposta do Protocolo OCSP (Online Certificate Status Protocol). A parar o Serviço de Resposta do Protocolo OCSP (Online Certificate Status Protocol).

Volume: Médio ou Baixo em computadores com Serviços de Certificados do Active Directory.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de serviços de certificação
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditDetailedFileShare

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare

Esta definição de política permite-lhe auditar tentativas de acesso a ficheiros e pastas numa pasta partilhada. A definição Partilha de Ficheiros Detalhada regista um evento sempre que um ficheiro ou pasta é acedido, enquanto a definição Partilha de Ficheiros regista apenas um evento para qualquer ligação estabelecida entre um cliente e uma partilha de ficheiros. Os eventos de auditoria detalhados da Partilha de Ficheiros incluem informações detalhadas sobre as permissões ou outros critérios utilizados para conceder ou negar o acesso.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de aceder a um ficheiro ou pasta numa partilha. O administrador pode especificar se pretende auditar apenas êxitos, apenas falhas ou êxitos e falhas.

Observação

Não existem listas de controlo de acesso ao sistema (SACLs) para pastas partilhadas.

  • Se esta definição de política estiver ativada, o acesso a todos os ficheiros e pastas partilhados no sistema será auditado.

Volume: elevado num servidor de ficheiros ou controlador de domínio devido ao acesso de rede SYSVOL exigido pela Política de Grupo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Compartilhamento de Arquivos de Auditoria Detalhado
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditFileShare

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare

Esta definição de política permite-lhe auditar tentativas de acesso a uma pasta partilhada.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de acesso a uma pasta partilhada.

  • Se esta definição de política estiver definida, o administrador pode especificar se pretende auditar apenas êxitos, apenas falhas ou êxitos e falhas.

Observação

Não existem listas de controlo de acesso ao sistema (SACLs) para pastas partilhadas.

  • Se esta definição de política estiver ativada, o acesso a todas as pastas partilhadas no sistema será auditado.

Volume: elevado num servidor de ficheiros ou controlador de domínio devido ao acesso de rede SYSVOL exigido pela Política de Grupo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Compartilhamento de Arquivos
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditFileSystem

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem

Esta definição de política permite-lhe auditar as tentativas do utilizador de aceder a objetos do sistema de ficheiros. Um evento de auditoria de segurança é gerado apenas para objetos que tenham listas de controlo de acesso ao sistema (SACL) especificadas e apenas se o tipo de acesso pedido, como Escrita, Leitura ou Modificação, e a conta que faz o pedido corresponderem às definições no SACL. Para obter mais informações sobre como ativar a auditoria de acesso a objetos, veja<https://go.microsoft.com/fwlink/?LinkId=122083>.

  • Se configurar esta definição de política, é gerado um evento de auditoria sempre que uma conta acede a um objeto do sistema de ficheiros com um SACL correspondente. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma conta acede a um objeto do sistema de ficheiros com um SACL correspondente.

Observação

Pode definir um SACL num objeto do sistema de ficheiros com o separador Segurança na caixa de diálogo Propriedades desse objeto.

Volume: depende da forma como os SACLs do sistema de ficheiros são configurados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Sistema de Arquivos
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditFilteringPlatformConnection

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection

Esta definição de política permite-lhe auditar ligações permitidas ou bloqueadas pela Plataforma de Filtragem do Windows (WFP). Estão incluídos os seguintes eventos: o Serviço de Firewall do Windows impede uma aplicação de aceitar ligações de entrada na rede. O WFP permite uma ligação. O WFP bloqueia uma ligação. O PAM permite um enlace a uma porta local. O WFP bloqueia um enlace a uma porta local. O WFP permite uma ligação. O WFP bloqueia uma ligação. O WFP permite que uma aplicação ou serviço oiça numa porta para ligações de entrada. O WFP bloqueia uma aplicação ou serviço para escutar numa porta para ligações de entrada.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando as ligações são permitidas ou bloqueadas pelo WFP. As auditorias de êxito registam eventos gerados quando as ligações são permitidas e as auditorias de falha registam eventos gerados quando as ligações são bloqueadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria quando a ligação for permitida ou bloqueada pelo WFP.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Conexão de Plataforma de Filtragem
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditFilteringPlatformPacketDrop

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop

Esta definição de política permite-lhe auditar pacotes que são removidos pela Plataforma de Filtragem do Windows (WFP).

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Descarte de Pacote de Plataforma de Filtragem
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditHandleManipulation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation

Esta definição de política permite-lhe auditar eventos gerados quando um identificador para um objeto é aberto ou fechado. Apenas os objetos com uma lista de controlo de acesso ao sistema (SACL) correspondente geram eventos de auditoria de segurança.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando um identificador é manipulado. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando um identificador é manipulado.

Observação

Os eventos nesta subcategoria geram eventos apenas para tipos de objeto onde a subcategoria de Acesso a Objetos correspondente está ativada. Por exemplo, se o acesso a objetos do sistema de ficheiros estiver ativado, são gerados eventos de auditoria de segurança de manipulação. Se o acesso a objetos de Registo não estiver ativado, os eventos de auditoria de segurança de manipulação não serão gerados.

Volume: depende da forma como as SACLs são configuradas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Manipulação de Identificador
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditKernelObject

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject

Esta definição de política permite-lhe auditar tentativas de acesso ao kernel, que incluem mutexes e semáforos. Apenas os objetos de kernel com uma lista de controlo de acesso ao sistema (SACL) correspondente geram eventos de auditoria de segurança.

Observação

A definição de política Auditar: Auditar o acesso de objetos de sistema global controla o SACL predefinido de objetos de kernel.

Volume: elevado se o acesso de auditoria de objetos de sistema global estiver ativado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Objeto Kernel
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditOtherObjectAccessEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents

Esta definição de política permite-lhe auditar eventos gerados pela gestão de tarefas do programador de tarefas ou objetos COM+. Para tarefas do agendador, os seguintes são auditados: Tarefa criada. Tarefa eliminada. Tarefa ativada. Tarefa desativada. Tarefa atualizada. Para objetos COM+, os seguintes objetos são auditados: Objeto de catálogo adicionado. Objeto de catálogo atualizado. Objeto de catálogo eliminado.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Outros Eventos de Acesso a Objetos
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditRegistry

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry

Esta definição de política permite-lhe auditar tentativas de acesso a objetos de registo. Um evento de auditoria de segurança é gerado apenas para objetos que tenham listas de controlo de acesso ao sistema (SACLs) especificadas e apenas se o tipo de acesso pedido, como Leitura, Escrita ou Modificação, e a conta que faz o pedido corresponderem às definições no SACL.

  • Se configurar esta definição de política, é gerado um evento de auditoria sempre que uma conta acede a um objeto de registo com um SACL correspondente. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma conta acede a um objeto de registo com um SACL correspondente.

Observação

Pode definir um SACL num objeto de registo com a caixa de diálogo Permissões.

Volume: depende da forma como os SACLs do registo são configurados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Registro
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditRemovableStorage

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage

Esta definição de política permite-lhe auditar as tentativas do utilizador de aceder a objetos do sistema de ficheiros num dispositivo de armazenamento amovível. Um evento de auditoria de segurança é gerado apenas para todos os objetos para todos os tipos de acesso pedidos.

  • Se configurar esta definição de política, é gerado um evento de auditoria sempre que uma conta acede a um objeto do sistema de ficheiros num armazenamento amovível. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando uma conta acede a um objeto do sistema de ficheiros num armazenamento amovível.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do armazenamento removível
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

ObjectAccess_AuditSAM

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM

Esta definição de política permite-lhe auditar eventos gerados por tentativas de acesso a objetos do Gestor de Contas de Segurança (SAM). Os objetos SAM incluem o seguinte: SAM_ALIAS - um grupo local. SAM_GROUP- Um grupo que não é um grupo local. SAM_USER - Uma conta de utilizador. SAM_DOMAIN - Um domínio. SAM_SERVER - Uma conta de computador.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de aceder a um objeto kernel. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando é efetuada uma tentativa de aceder a um objeto kernel.

Observação

Apenas a Lista de Controlo de Acesso ao Sistema (SACL) para SAM_SERVER pode ser modificada. Volume: elevado em controladores de domínio.

Volume: elevado em controladores de domínio. Para obter mais informações sobre como reduzir o número de eventos gerados através da auditoria do acesso de objetos de sistema globais, veja Auditar o acesso de objetos de sistema globais.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de SAM
Caminho Definições > de Segurança do Windows Definições > de Segurança Configuração > de Políticas de Auditoria Avançadas Políticas de Auditoria do Sistema Acesso a Objetos >

PolicyChange_AuditAuthenticationPolicyChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange

Esta definição de política permite-lhe auditar eventos gerados por alterações à política de autenticação, como o seguinte: Criação de fidedignidades de floresta e domínio. Modificação de fidedignidades de floresta e domínio. Remoção de fidedignidades de floresta e domínio. Alterações à política Kerberos em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Conta\Política Kerberos. Conceder qualquer um dos seguintes direitos de utilizador a um utilizador ou grupo: Aceder a Este Computador a Partir da Rede. Permitir Início de Sessão Localmente. Permitir Início de Sessão através dos Serviços de Terminal. Inicie sessão como uma Tarefa do Batch. Inicie sessão num Serviço. Colisão do espaço de nomes. Por exemplo, quando uma nova fidedignidade tem o mesmo nome que um nome de espaço de nomes existente.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar a política de autenticação. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria quando a política de autenticação for alterada.

Observação

O evento de auditoria de segurança é registado quando a política de grupo é aplicada. Não ocorre no momento em que as definições são modificadas.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Alteração de Políticas de Autenticação
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PolicyChange_AuditAuthorizationPolicyChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange

Esta definição de política permite-lhe auditar eventos gerados por alterações à política de autorização, tais como: Atribuição de direitos de utilizador (privilégios), como SeCreateTokenPrivilege, que não são auditados através da subcategoria "Alteração da Política de Autenticação". Remoção de direitos de utilizador (privilégios), como SeCreateTokenPrivilege, que não são auditados através da subcategoria "Alteração da Política de Autenticação". Alterações na política sistema de ficheiros encriptado (EFS). Alterações aos atributos de Recurso de um objeto. Alterações à Política de Acesso Central (CAP) aplicadas a um objeto.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de alterar a política de autorização. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria quando a política de autorização for alterada.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Alteração de Políticas de Autorização
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PolicyChange_AuditFilteringPlatformPolicyChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange

Esta definição de política permite-lhe auditar eventos gerados por alterações à Plataforma de Filtragem do Windows (WFP), como o seguinte: estado dos serviços IPsec. Alterações às definições de política IPsec. Alterações às definições de política da Firewall do Windows. Alterações aos fornecedores e ao motor WFP.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é tentada uma alteração ao PAM. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando ocorre uma alteração no WFP.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Alteração na Política da Plataforma de Filtragem
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange

Esta definição de política permite-lhe auditar eventos gerados por alterações nas regras de política utilizadas pelo Serviço de Proteção da Microsoft (MPSSVC). Este serviço é utilizado pela Firewall do Windows. Os eventos incluem o seguinte: Relatórios de políticas ativas quando o serviço firewall do Windows é iniciado. Alterações às regras da Firewall do Windows. Alterações à lista de exceções da Firewall do Windows. Alterações às definições da Firewall do Windows. Regras ignoradas ou não aplicadas pelo Serviço de Firewall do Windows. Alterações às definições da Política de Grupo da Firewall do Windows.

  • Se configurar esta definição de política, um evento de auditoria é gerado por tentativas de alterar as regras de política utilizadas pelo MPSSVC. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, nenhum evento de auditoria é gerado por alterações nas regras de política utilizadas pelo MPSSVC.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditar alteração da política de nível de regra MPSSVC
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PolicyChange_AuditOtherPolicyChangeEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents

Esta definição de política permite-lhe auditar eventos gerados por outras alterações de política de segurança que não são auditadas na categoria de alteração de política, como as seguintes alterações de configuração: Trusted Platform Module (TPM). Testes automáticos criptográficos no modo kernel. Operações do fornecedor de criptografia. Operações ou modificações de contexto criptográfico. Alterações às Políticas de Acesso Central (CAPs) aplicadas. Modificações de Dados de Configuração de Arranque (BCD).

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Outros Eventos de Alteração de Políticas
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PolicyChange_AuditPolicyChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange

Esta definição de política permite-lhe auditar as alterações nas definições da política de auditoria de segurança, como as seguintes: Definições de permissões e definições de auditoria no objeto Política de Auditoria. Alterações à política de auditoria do sistema. Registo de origens de eventos de segurança. Anular o registo de origens de eventos de segurança. Alterações às definições de auditoria por utilizador. Alterações ao valor de CrashOnAuditFail. Alterações à lista de controlo de acesso do sistema num sistema de ficheiros ou objeto de registo. Alterações à lista Grupos Especiais.

Observação

A auditoria de alteração da lista de controlo de acesso do sistema (SACL) é feita quando um SACL de um objeto é alterado e a categoria de alteração de política está ativada. A lista de controlo de acesso discricionário (DACL) e as alterações de propriedade são auditadas quando a auditoria de acesso a objetos está ativada e o SACL do objeto está configurado para auditoria da alteração da DACL/Proprietário.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Alteração da Política de Auditoria
Caminho Definições do Windows Definições > de Segurança Definições Política de > Auditoria Avançada Configuração > do Sistema Políticas de Auditoria Políticas > de Auditoria

PrivilegeUse_AuditNonSensitivePrivilegeUse

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse

Esta definição de política permite-lhe auditar eventos gerados pela utilização de privilégios não confidenciais (direitos de utilizador). Os seguintes privilégios não são confidenciais: Aceder ao Gestor de Credenciais como um chamador fidedigno. Aceda a este computador a partir da rede. Adicionar estações de trabalho ao domínio. Ajuste as quotas de memória para um processo. Permitir o início de sessão localmente. Permitir o início de sessão através dos Serviços de Terminal. Ignorar a verificação transversal. Altere a hora do sistema. Criar um ficheiro de página. Criar objetos globais. Criar objetos partilhados permanentes. Criar ligações simbólicas. Negar o acesso a este computador a partir da rede. Negar o início de sessão como uma tarefa de lote. Negar o início de sessão como um serviço. Negar o início de sessão localmente. Negar o início de sessão através dos Serviços de Terminal. Forçar o encerramento de um sistema remoto. Aumente um conjunto de trabalho do processo. Aumentar a prioridade de agendamento. Bloquear páginas na memória. Inicie sessão como uma tarefa de lote. Inicie sessão como um serviço. Modificar uma etiqueta de objeto. Executar tarefas de manutenção de volume. Processo único de perfil. Desempenho do sistema de perfis. Remova o computador da estação de ancoragem. Encerre o sistema. Sincronizar dados do serviço de diretório.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é chamado um privilégio não confidencial. As auditorias com êxito registam chamadas bem-sucedidas e as auditorias de falha registam chamadas sem êxito.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando é chamado um privilégio não confidencial.

Volume: muito elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Uso de Privilégio Não Importante
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas de Auditoria Do Sistema Utilização de Privilégios >

PrivilegeUse_AuditOtherPrivilegeUseEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents

Não utilizado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de outros eventos de uso de privilégios
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas de Auditoria Do Sistema Utilização de Privilégios >

PrivilegeUse_AuditSensitivePrivilegeUse

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse

Esta definição de política permite-lhe auditar eventos gerados quando são utilizados privilégios confidenciais (direitos de utilizador), como o seguinte: é chamado um serviço com privilégios. Um dos seguintes privilégios chama-se: Agir como parte do sistema operativo. Efetue uma cópia de segurança de ficheiros e diretórios. Criar um objeto de token. Depurar programas. Permitir que as contas de computador e de utilizador sejam consideradas fidedignas para delegação. Gerar auditorias de segurança. Representar um cliente após a autenticação. Carregar e descarregar controladores de dispositivo. Gerir registos de auditoria e segurança. Modificar valores de ambiente de firmware. Substitua um token ao nível do processo. Restaurar ficheiros e diretórios. Assumir a propriedade de ficheiros ou outros objetos.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando são feitos pedidos de privilégios confidenciais. As auditorias com êxito registam pedidos bem-sucedidos e as auditorias de falha registam pedidos sem êxito.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando são feitos pedidos de privilégios confidenciais.

Volume: elevado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Uso de Privilégio Importante
Caminho Definições de Segurança definições > do Windows Configuração > de Políticas > de Auditoria Avançadas Políticas de Auditoria Do Sistema Utilização de Privilégios >

System_AuditIPsecDriver

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver

Esta definição de política permite-lhe auditar eventos gerados pelo controlador de filtro IPsec, como o seguinte: Arranque e encerramento dos serviços IPsec. Os pacotes de rede foram removidos devido a uma falha na verificação de integridade. Pacotes de rede removidos devido a uma falha de verificação de repetição. Os pacotes de rede foram removidos devido a estarem em texto simples. Pacotes de rede recebidos com Índice de Parâmetros de Segurança (SPI) incorreto. Isto pode indicar que a placa de rede não está a funcionar corretamente ou que o controlador tem de ser atualizado. Incapacidade de processar filtros IPsec.

  • Se configurar esta definição de política, é gerado um evento de auditoria numa operação de controlador de filtro IPsec. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não será gerado nenhum evento de auditoria numa operação de controlador de filtro IPSec.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria do driver IPsec
Caminho Definições de Segurança definições > do Windows Sistema de Políticas > de Auditoria Avançadas > configuração > do sistema de auditoria

System_AuditOtherSystemEvents

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents

Esta definição de política permite-lhe auditar qualquer um dos seguintes eventos: Arranque e encerramento do serviço e controlador da Firewall do Windows. Processamento de políticas de segurança pelo Serviço de Firewall do Windows. Operações de migração e ficheiro de chave criptografia.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 3

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 (Predefinição) Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de outros eventos do sistema
Caminho Definições de Segurança definições > do Windows Sistema de Políticas > de Auditoria Avançadas > configuração > do sistema de auditoria

System_AuditSecurityStateChange

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange

Esta definição de política permite-lhe auditar eventos gerados por alterações no estado de segurança do computador, tais como os seguintes eventos: Arranque e encerramento do computador. Alteração da hora do sistema. Recuperar o sistema de CrashOnAuditFail, que é registado após um reinício do sistema quando o registo de eventos de segurança está cheio e a entrada de registo CrashOnAuditFail está configurada.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 (Predefinição) Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Alteração no Estado de Segurança
Caminho Definições de Segurança definições > do Windows Sistema de Políticas > de Auditoria Avançadas > configuração > do sistema de auditoria

System_AuditSecuritySystemExtension

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension

Esta definição de política permite-lhe auditar eventos relacionados com extensões ou serviços do sistema de segurança, como o seguinte: uma extensão do sistema de segurança, como uma autenticação, notificação ou pacote de segurança, é carregada e está registada na Autoridade de Segurança Local (LSA). É utilizado para autenticar tentativas de início de sessão, submeter pedidos de início de sessão e quaisquer alterações de conta ou palavra-passe. Exemplos de extensões do sistema de segurança são Kerberos e NTLM. Um serviço é instalado e registado no Service Control Manager. O registo de auditoria contém informações sobre o nome do serviço, binário, tipo, tipo de início e conta de serviço.

  • Se configurar esta definição de política, é gerado um evento de auditoria quando é efetuada uma tentativa de carregar uma extensão do sistema de segurança. As auditorias com êxito registam tentativas bem-sucedidas e as auditorias de falha registam tentativas falhadas.

  • Se não configurar esta definição de política, não é gerado nenhum evento de auditoria quando é efetuada uma tentativa de carregar uma extensão do sistema de segurança.

Volume: baixo. Os eventos de extensão do sistema de segurança são gerados com mais frequência num controlador de domínio do que em computadores cliente ou servidores membros.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria de Extensão do Sistema de Segurança
Caminho Definições de Segurança definições > do Windows Sistema de Políticas > de Auditoria Avançadas > configuração > do sistema de auditoria

System_AuditSystemIntegrity

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1803 com KB4516045 [10.0.17134.1039] e posterior
✅ Windows 10, versão 1809 com KB4516077 [10.0.17763.774] e posterior
✅ Windows 10, versão 1903 com KB4512941 [10.0.18362.329] e posterior
✅ Windows 10, versão 2004 [10.0.19041] e posterior
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity

Esta definição de política permite-lhe auditar eventos que violam a integridade do subsistema de segurança, como o seguinte: Eventos que não puderam ser escritos no registo de eventos devido a um problema com o sistema de auditoria. Um processo que utiliza uma porta de chamada de procedimento local (LPC) que não é válida numa tentativa de representar um cliente ao responder, ler ou escrever de ou para um espaço de endereços de cliente. A deteção de uma Chamada de Procedimento Remoto (RPC) que compromete a integridade do sistema. A deteção de um valor hash de um ficheiro executável que não é válido conforme determinado pela Integridade do Código. Operações criptográficas que comprometem a integridade do sistema.

Volume: baixo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 3

Valores Permitidos:

Valor Descrição
0 Desativado/Nenhum.
1 Sucesso.
2 Falha.
3 (Predefinição) Êxito+Falha.

Mapeamento de política de grupo:

Nome Valor
Nome Auditoria da integridade do sistema
Caminho Definições de Segurança definições > do Windows Sistema de Políticas > de Auditoria Avançadas > configuração > do sistema de auditoria

Provedor de serviço da configuração de política