Аудит доступа к глобальным системным объектам

Этот параметр безопасности определяет, будет ли выполняться аудит доступа к глобальным системным объектам.

Если данный параметр включен, то системные объекты, такие как мьютексы (флаги взаимного исключения), события, семафоры (механизмы блокировки, используемые диспетчерами или распределителями ресурсов) и DOS-устройства, будут создаваться с системным списком управления доступом (SACL) по умолчанию. Список SACL присваивается только именованным объектам; списки SACL не поддерживают объекты, не имеющие имен. Если также включена политика доступа к объектам аудита, будет выполняться аудит доступа к этим системным объектам.

По умолчанию: Отключено.

Аудит использования права на архивацию и восстановление

Этот параметр безопасности определяет, будет ли выполняться аудит использования всех прав пользователя, включая "Архивация и восстановление", если включен параметр "Выполнять аудит использования привилегий". Включение этого параметра, когда также включен параметр "Выполнять аудит использования привилегий", создает событие аудита для каждого файла, с которым выполнялись операции архивации или восстановления.

Если эта политика отключена, аудит использования права "Архивация и восстановление" не выполняется даже при включенном параметре "Выполнять аудит использования привилегий".

Примечание. Изменения в настройке этого параметра безопасности вступят в силу только после перезагрузки Windows.

По умолчанию: Отключено.

Аудит немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности

Этот параметр безопасности определяет, будет ли завершена работа системы при невозможности протоколирования событий безопасности.

Если этот параметр безопасности включен, система будет остановлена при невозможности протоколирования аудита безопасности по любой причине. Обычно протоколирование событий становится невозможным при переполнении журнала аудита безопасности, а его метод сохранения определен либо как "Не затирать события", либо как "Затирать старые события по дням".

Если журнал аудита безопасности переполнен и существующая запись не может быть затерта, а данный параметр безопасности включен, возникнет следующая Stop-ошибка:

STOP: C0000244 {Неудачная попытка аудита}

Неудачная попытка выполнения аудита безопасности.

Для восстановления администратор должен войти в систему, заархивировать (необязательно) и очистить журнал и, при желании, сбросить данный параметр. Пока данный параметр безопасности не будет сброшен, никто из пользователей, за исключением членов группы администраторов, не может войти в систему, даже если журнал безопасности не будет заполнен.

По умолчанию: Отключено.

Аудит принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (ОС Windows Vista или более поздние версии).

ОС Windows Vista и более поздние версии Windows позволяют точнее управлять политикой аудита при помощи подкатегорий политики аудита. Установка политики аудита на уровне категории переопределит новую функцию политики аудита подкатегории. Чтобы обеспечить управление политикой аудита при помощи подкатегорий без необходимости изменения групповой политики, в Windows Vista и более поздних версиях предусмотрено новое значение реестра (SCENoApplyLegacyAuditPolicy), запрещающее применение политики аудита уровня категории из групповой политики и из средства администрирования "Локальная политика безопасности".

Если установленная здесь политика аудита уровня категории не согласуется с формируемыми событиями, то причина может быть в том, что установлен этот раздел реестра.

Значение по умолчанию: включен