某些东西(或某人)不断改变我们的几台服务器上的环境pathvariables。 我有审计策略(在本地秒)下设置为成功,失败的所有,但过程跟踪(这只是失败)。 但是,当对我们的环境path进行更改时,我无法find正在logging更改的审核日志的位置。
有人能指点我可以findpath环境variables更改日志的方向(或者如何启用审计环境path更改,如果尚未)?
我在Windows Server 2012 Standard上。
机器pathvariables存储在registry中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\Path 用户variables在:
HKEY_CURRENT_USER\Environment
审计Windows中的对象必须做两件事。
首先转到审计,你已经做了。
它应该足以启用: Success Audit object access
其次,你必须改变你想审核的对象。
在regedit.exe导航到上面提到的键。
从Edit菜单中selectPermissions 。 点击Advancedbutton,然后点击Auditing标签。
单击Addbutton,然后Select a principal链接,inputEveryone并单击OK 。
selectFull Control ,三次OK
现在访问该registry项是审计。 要查看审核,请在Event Viewer使用Security日志
它应该告诉你:用户,过程,时间,甚至是新的价值。
当你不再需要审计时,应该再次closures审计。