Локальная политика безопасности. Политика аудита

Политика аудита используется для того чтобы настроить в системе определенного пользователя и группы аудит активности. Для того чтобы выполнить конфигурацию политики аудита, необходимо зайти в редактор управления групповыми политиками и выполнить открытие узла Конфигурация компьютера/Конфигурация операционной системы Windows/Параметры безопасности/Локальные политики/Политика аудита. Необходимо знать, что по умолчанию установлен параметр Не определено. Всего можно настроить девять политик аудита. 
Рассмотрим несколько политик аудита:
Аудит входа в операционную систему. Данная политика определяет, станет ли ОС пользователя выполнять аудит каждой попытки входа в операционную систему.
Аудит доступа к объектам. Данная политика безопасности предназначена для выполнения аудита попыток доступа пользователя к объектам, которые никак не относятся к Active Directory. К данным объектам можно отнести и папки, и файлы, и некоторые разделы реестров. 
Аудит доступа к службе каталогов. Аудит доступа к службе каталогов. Используя данную политику, пользователь может определить, будет ли выполнен аудит событий, которые были указаны в SACL.
Аудит изменения политики. Данная политика аудита указывает, будет ли выполнять ОС аудит всех попыток изменения политик назначения прав. 
Аудит изменения привилегий. Данная политика поможет пользователю определить, прошел ли аудит использования привилегий и прав пользователей. Аудит успеха может обозначать, что запись аудита была создана каждый раз, когда пользователь выполнял успешный вход в учетную запись. Аудит отказов, соответственно – создание записи каждый раз, когда пользователь производил неверный вход в учетную запись. 
Аудит отслеживания процессов. Данная политика определяет, будет ли произведен аудит событий, которые напрямую связаны с такими процессами, как создание и завершение процесса, а так же активирование утилит. 
Аудит системных событий. Эта политика, можно сказать, особенно ценная. Именно при использовании данной политики пользователь может узнать, был ли перезапущен компьютер, вносились ли события, которые отвечали за безопасность операционной системы или журнала безопасности. В данном случае аудит успеха обозначает, что запись создавалась тогда, когда системное событие проходило успешно. Аудит отказа, соответственно обозначает, что запись создавалась в том случае, когда системное событие завершалось неудачей.