此頁面提供當您套用原則時,會在選取的伺服器上對稽核原則進行之所有變更的清單。它會顯示每個稽核原則設定和原則所定義設定的目前設定值。除非您真的套用安全性原則,否則不會對選取的伺服器進行任何變更。

如果您要變更結果稽核原則,可以返回上一頁然後在 [系統稽核原則] 頁面上選擇其他兩個稽核原則選項的其中一個。

SACL 和復原

SCWAudit.inf 是附隨安全性設定精靈 (SCW) 提供的稽核安全性範本。SCWAudit.inf 定義存取控制清單 (SACL),可協助偵測對作業系統的竄改或嘗試竄改動作。這些 SACL 能讓系統記錄 Windows 目錄結構中任何使用者對任何執行檔或設定檔的存取,以及對 Windows 服務之狀態或設定的變更。SACL 不會使 Windows 監視主要用於其他目的之檔案和目錄,而且會盡量減少產生的記錄事件。但是,套用 Service Pack、從備份還原資訊,或在所有或部分 Windows 目錄上變更權限,都會導致產生大量事件。

SCW 復原功能不包含復原 SACL 的能力。因此,如果您不想套用 SCWAudit.inf 安全性範本,則可清除 [也包含 SCWAudit.inf 安全性範本。為了要稽核檔案系統的存取,SCWAudit.inf 會設定系統存取控制清單 (SACLS)] 核取方塊 (位於 [稽核原則摘要] 頁面上)。

若要檢視 SCWAudit.inf 中定義之檔案系統和登錄 SACL 的詳細資料,您可以從安全性範本嵌入式管理單元開啟 SCWAudit.inf。SCWAudit.inf 位於 %WINDIR%\Security\Msscw\Kbs。

也提供另一個安全性範本 DefaultSACLs.inf。若 SCWAudit.inf 無法如預期作用時,此安全性範本可讓您重新套用預設的 SACL。所套用的預設 SACL 是與 Windows 一起安裝的,不是在您套用 SCWAudit.inf 之前生效的 SACL,若要套用 DefaultSACLs.inf,請在命令提示字元中輸入下列命令:

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb

其他參考資料