若Windows 11中无关键安全事件日志,需依次启用本地审核策略(secpol.msc)、配置高级审计(gpedit.msc)、调整安全日志大小与覆盖规则,并通过错误/正确登录验证4624/4625事件是否生成。
如果您希望在Windows 11系统中记录关键安全事件(如登录尝试、文件访问、策略更改等),但未看到相关日志条目,则可能是审核策略尚未启用或配置不完整。以下是启用和配置审核策略的具体操作步骤:
本文运行环境:Surface Laptop 5,Windows 11 22H2
该方法适用于未加入域的Windows 11专业版/企业版设备,使用内置的secpol.msc控制台直接配置核心审核策略。
1、按 Win + R 打开运行对话框,输入 secpol.msc 并回车。
2、在左侧面板中依次展开 本地策略 → 审核策略。
3、在右侧面板中,双击以下每一项策略,勾选 “成功”和“失败” 复选框,点击【确定】:
• 审核账户登录事件
• 审核对象访问
• 审核策略更改
• 审核特权使用
• 审核进程跟踪
该方法支持更细粒度的控制,例如仅对特定文件夹启用访问审计,并要求目标对象已配置SACL(系统访问控制列表)。
1、按 Win + R 打开运行对话框,输入 gpedit.msc 并回车。
2、依次导航至:计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审计策略。
3、在右侧启用以下策略(双击→选择“已启用”→勾选“成功”和“失败”):
• 登录/注销
• 对象访问
• 特权使用
• 详细跟踪
4、返回到 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略,确认“审核对象访问”已启用。
5、对需监控的文件或文件夹右键→【属性】→【安全】→【高级】→【审核】→【添加】,指定用户/组并勾选具体操作类型(如“读取”“写入”“删除”)。
启用审核后,事件将写入“安全”日志;若日志空间不足或覆盖策略不当,可能导致关键事件丢失。
1、右键【开始】按钮→选择【事件查看器】。
2、左侧导航至:Windows 日志 → 安全日志。
3、右键【安全】→【属性】。
4、在【日志大小】区域设置:最大日志大小不低于1024MB。
5、在【当日志达到最大值时】下拉菜单中,选择:按需要覆盖事件(最旧事件最先覆盖)。
6、点击【确定】保存设置。
生成真实事件是验证配置是否成功的必要步骤,确保日志可被采集和识别。
1、注销当前管理员账户,切换至一个标准用户(如TestUser)。
2、故意输入错误密码 三次 后再用正确密码登录成功。
3、重新以管理员身份登录。
4、打开【事件查看器】→【Windows 日志】→【安全】。
5、右键【安全】→【筛选当前日志】,在【事件ID】栏输入:4624,4625,点击【确定】。
6、确认列表中出现对应时间戳的登录成功(4624)与失败(4625)事件,且【用户】字段显示为测试账户名。
以上就是Win11如何启用和配置审核策略 Win11系统安全日志审计教程【安全】的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
997
收藏
