Resumo da Diretiva de Auditoria

SCWAudit.inf é o modelo de auditoria de segurança fornecido com o Assistente de Configuração de Segurança (ACS) O SCWAudit.inf define as listas de controle de acesso do sistema (SACLs) que ajudam a detectar a violação ou a tentativa de violação do sistema operacional. Essas SACLs permitem que o sistema registre o acesso feito por qualquer usuário a arquivos executáveis ou de configuração na estrutura de diretórios do Windows, além de alterações no estado ou na configuração dos serviços do Windows. As SACLs não fazem com que o Windows monitore arquivos e diretórios usados principalmente para outros fins. Elas geram o mínimo possível de eventos registrados em log. No entanto, aplicar um service pack, restaurar as informações de um backup ou alterar permissões em parte ou em todo o diretório do Windows pode resultar na geração de um grande número de eventos.

O recurso de reversão do ACS não inclui a capacidade de reverter SACLs. Portanto, se não desejar aplicar o modelo de segurança SCWAudit.inf, você poderá desmarcar a caixa de seleção Incluir também modelo de segurança SCWAudit.inf. O SCWAudit.inf define listas de controle de acesso do sistema (SACLS) para auditar o acesso ao sistema de arquivos na página Resumo da Diretiva de Auditoria.

Para exibir detalhes sobre as SACLs do sistema de arquivos e do Registro definidas em SCWAudit.inf, você pode abrir o SCWAudit.inf usando o snap-in Modelos de Segurança. O SCWAudit.inf está localizado em %WINDIR%\Security\Msscw\Kbs.

Outro modelo de segurança, DefaultSACLs.inf, também é fornecido. Ele permite que você reaplique as SACLs padrão, no caso de o SCWAudit.inf não funcionar conforme pretendido. As SACLs padrão aplicadas são aquelas instaladas com o Windows, não as SACLs que vigoravam antes da aplicação do SCWAudit.inf. Para aplicar o DefaultSACLs.inf, digite no prompt de comando:

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb