审核策略摘要

SCWAudit.inf 是一种审核安全模板，随安全配置向导 (SCW) 一起提供。SCWAudit.inf 定义了系统访问控制列表 (SACL)，该列表可帮助检测对操作系统进行的篡改和尝试进行的篡改。这些 SACL 使系统可以记录任何用户对 Windows 目录结构中的任何可执行文件或配置文件的访问，以及对 Windows 服务的状态或配置的更改。SACL 不会使 Windows 监视主要用于其他用途的文件和目录，并且会生成尽可能少的记录事件。但是，在应用 Service Pack、从备份还原信息或更改所有或部分 Windows 目录上的权限时，可能会生成大量的事件。

SCW 回滚功能无法回滚 SACL。因此，如果不希望应用 SCWAudit.inf 安全模板，则可在“审核策略摘要”页上清除“在安全模板中也包括 SCWAudit.inf。SCWAudit.inf 设置系统访问列表 (SACL)，以审核对文件系统的访问”复选框。

若要查看有关 SCWAudit.inf 中定义的文件系统和注册表 SACL 的详细信息，可以在“安全模板”管理单元中打开 SCWAudit.inf。SCWAudit.inf 位于 %WINDIR%\Security\Msscw\Kbs 中。

同时，还提供另一个安全模板 DefaultSACLs.inf。如果 SCWAudit.inf 无法正常运行，可以通过该模板重新应用默认的 SACL。应用的默认 SACL 是随 Windows 一起安装的 SACL，而不是在应用 SCWAudit.inf 之前生效的 SACL。若要应用 DefaultSACLs.inf，请在命令提示符下键入以下命令：

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb