所有 powershell 终端的 Windows 高级审核设置

Posted 2023-03-26

【中文标题】所有 powershell 终端的 Windows 高级审核设置

【英文标题】：Windows Advanced audit settings for ALL powershell terminals

【发布时间】：2019-01-21 13:59:06

【问题描述】：

在 powershell 上，我只有通过以管理员身份运行，通过运行才能从注册表项查看高级审核设置的命令 (get-acl hklm:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -audit).GetAuditRules($true,$true,[System.Security.Principal.NTAccount])

我想知道在常规的 powershell 终端上是否有另一种方法可以做到这一点？当我尝试使用上面的命令时，我得到了这个输出get-acl : Attempted to perform an unauthorized operation.

【参考方案1】：

我认为您需要授予自己“管理审核和安全日志”(SeSecurityPrivilege) 用户权限才能执行此操作。

打开组策略编辑器（Windows + R 并键入 gpedit.msc 用于本地机器） 转到计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户 权限分配 双击“管理审核和安全日志” 进入并将您自己添加到具有该权限的用户中。

您可能必须在新设置生效之前注销并重新登录。

也可以使用 Powershell 来完成。我发现了一个模块cSecurityOptions 并且Carbon 有一个名为Grant-Privilege 的函数。不过我没试过..

希望对你有帮助