修改审计策略（组策略）

Question

我想用 vb.net 更改对象审计策略。就像启用对象访问审计一样。那可能吗？如果没有，powershell 是一种选择吗？我知道我可以在任何版本的 Windows 上运行 gpedit，但我希望能够以编程方式更改设置。

另外，我知道注册表可以更改某些设置，但我还没有看到用于审核策略的设置。

http://www.lshift.net/blog/2013/03/25/programmatically-updating-local-policy-in-windows/

我找到了这个，但过一会儿会试一试。

Answer 1

更新：可以通过 VB（或任何其他语言）导入，但使用 REG IMPORT。确保将 .REG 文件放在系统可以访问的位置（系统没有与管理员相同的权限）。您必须启动一个作为系统运行的单独应用程序，并在加载时导入注册表项。您可以使用来自 Sysinternals 的 PSTools (psexec) 作为系统运行。你也可以通过创建服务，运行服务，然后删除服务来实现：Running application as System (without PSTools)

我意识到所有我认为是答案的链接，都不是。它们都更改了 Audit Policy 选项卡，而我已经可以通过编程方式进行更改。我要更改的是全局审计策略，它仅在组策略 (gpedit.msc) 中可用。当然，您可以在任何版本的 Windows 上“安装”它，但我想要一个不需要最终用户设置它的解决方案（也就是不使用 gpedit.msc）。

我知道 Process Monitor 几乎可以监控后台发生的任何事情，并且我的 cmets 中的一个链接也正在使用 Process Monitor（我的 OP 的 cmets）。所以，我认为这真的是我唯一的方法。自然，您会认为 mmc.exe 是要查找的文件，但事实并非如此。它执行 TON 的注册表打开/查询/枚举/关闭。但是，没有设置或删除。我决定在大块 mmc 操作之前和之后看一下（当然，当然是介于两者之间的任何地方）。任何不是 mmc 但发生在确切时间范围内的事情。我发现 lsass 做了一些设置和删除。它正在更改系统拥有的注册表项的值。我使用 PSTools 将 regedit 作为系统运行，因此我可以访问密钥。然后我使用 gpedit 来回切换（从 No Auditing 到 Success），发现它总是设置相同的值（比如 0 表示关闭，1 表示开启）。我在 gpedit 中更改值时导出了密钥，然后将它们导入测试。我可以通过在导入后重新打开 gpedit 来确认它是否有效，并且值会发生变化。我也可以简单地通过在文件夹上启用审核并在事件查看器中查看日志来确认。

tl;博士

1. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv\(Default) 是你想要的。
2. Download the .reg files here
3. 在提升的命令提示符下运行：psexec -i -s regedit
4. 导入您需要的 .reg 文件。
5. 重新打开 gpedit.msc 并检查事件查看器（安全）进行确认

不信任 .reg 文件？如果您想自己创建它们，这里是您的价值观。值类型是 REG_NONE，所以是@=hex(0)。

无审核：00010000090000007e00000001000000030000000300010001000100000001000000000000000300000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001000100000000000000000001000000010000000000000000000000000000000000000000000000fe7f05000a000e00030004000600060004000400

成功：00010000090000007e00000001000000030000000300010001000100000001000000000000000300000001000100010001000100010001000100010001000100010001000100000000000000000000000000000001000100000000000000000001000000010000000000000000000000000000000000000000000000fe7f05000a000e00030004000600060004000400