Win11如何启用和配置审核策略 Win11系统安全日志审计教程【安全】

“纵有疾风来，人生不言弃”，这句话送给正在学习文章的朋友们，也希望在阅读本文《Win11如何启用和配置审核策略 Win11系统安全日志审计教程【安全】》后，能够真的帮助到大家。我也会在后续的文章中，陆续更新文章相关的技术文章，有好的建议欢迎大家在评论留言，非常感谢！

若Windows 11中无关键安全事件日志，需依次启用本地审核策略（secpol.msc）、配置高级审计（gpedit.msc）、调整安全日志大小与覆盖规则，并通过错误/正确登录验证4624/4625事件是否生成。

如果您希望在Windows 11系统中记录关键安全事件（如登录尝试、文件访问、策略更改等），但未看到相关日志条目，则可能是审核策略尚未启用或配置不完整。以下是启用和配置审核策略的具体操作步骤：

本文运行环境：Surface Laptop 5，Windows 11 22H2

一、通过本地安全策略启用基础审核项

该方法适用于未加入域的Windows 11专业版/企业版设备，使用内置的secpol.msc控制台直接配置核心审核策略。

1、按 Win + R 打开运行对话框，输入 secpol.msc 并回车。

2、在左侧面板中依次展开 本地策略 → 审核策略。

3、在右侧面板中，双击以下每一项策略，勾选 “成功”和“失败” 复选框，点击【确定】：

　　• 审核账户登录事件

　　• 审核对象访问

　　• 审核策略更改

　　• 审核特权使用

　　• 审核进程跟踪

二、通过组策略编辑器配置精细化审计

该方法支持更细粒度的控制，例如仅对特定文件夹启用访问审计，并要求目标对象已配置SACL（系统访问控制列表）。

1、按 Win + R 打开运行对话框，输入 gpedit.msc 并回车。

2、依次导航至：计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审计策略。

3、在右侧启用以下策略（双击→选择“已启用”→勾选“成功”和“失败”）：

　　• 登录/注销

　　• 对象访问

　　• 特权使用

　　• 详细跟踪

4、返回到 计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 审核策略，确认“审核对象访问”已启用。

5、对需监控的文件或文件夹右键→【属性】→【安全】→【高级】→【审核】→【添加】，指定用户/组并勾选具体操作类型（如“读取”“写入”“删除”）。

三、配置安全日志存储与覆盖策略

启用审核后，事件将写入“安全”日志；若日志空间不足或覆盖策略不当，可能导致关键事件丢失。

1、右键【开始】按钮→选择【事件查看器】。

2、左侧导航至：Windows 日志 → 安全日志。

3、右键【安全】→【属性】。

4、在【日志大小】区域设置：最大日志大小不低于1024MB。

5、在【当日志达到最大值时】下拉菜单中，选择：按需要覆盖事件（最旧事件最先覆盖）。

6、点击【确定】保存设置。

四、验证审核策略是否生效

生成真实事件是验证配置是否成功的必要步骤，确保日志可被采集和识别。

1、注销当前管理员账户，切换至一个标准用户（如TestUser）。

2、故意输入错误密码 三次 后再用正确密码登录成功。

3、重新以管理员身份登录。

4、打开【事件查看器】→【Windows 日志】→【安全】。

5、右键【安全】→【筛选当前日志】，在【事件ID】栏输入：4624,4625，点击【确定】。

6、确认列表中出现对应时间戳的登录成功（4624）与失败（4625）事件，且【用户】字段显示为测试账户名。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~