Remplissage du journal des événements de sécurité de Windows XP

Question

J'ai besoin de remplir le journal des événements de sécurité de Windows à un état presque complet. Puisque l'accès en écriture à ce journal n'est pas possible, quelqu'un pourrait-il donner des conseils quant à une action qui pourrait être effectuée par programme et qui ajouterait une entrée à ce journal? Il n'a pas besoin d'être significatif tant qu'il donne une entrée (l'une avec le moins de surcharge serait souhaitée car elle devra être exécutée des milliers de fois).

Ceci est nécessaire uniquement à des fins de test sur un banc d'essai, toute solution sale fera l'affaire. La seule exigence est que c'est .NET 2.0 (C#).

Answer 1

Vous pouvez activer toutes les catégories d'audit de sécurité dans la stratégie de sécurité locale (secpol.msc | Stratégies locales | Stratégie d'audit). L'accès aux objets a tendance à donner beaucoup d'événements. L'activation de l'audit d'accès aux fichiers, puis la définition de l'audit pour tout le monde sur certains fichiers et dossiers fréquemment utilisés génèrent également beaucoup d'événements.

Et c'est l'usage normal, et cela inclut tout accès par programme à ces ressources auditées (tout est programmatique à la fin, juste le programme de quelqu'un d'autre).

Answer 2

1. Activer l'audit de connexion comme mentionné ci-dessus. La réussite ou l'échec dépend de la façon dont vous gérez l'étape 2:
2. Utilisez LoginUser pour emprunter l'identité d'un utilisateur local sur le système, ou FAIL pour usurper l'identité de cet utilisateur local sur le système. Des tonnes d'échantillons via bien pour des implémentations C# viables.
3. Appel dans une boucle serrée, à plusieurs reprises.

Une autre approche que vous pouvez adopter consiste à activer l'accès aux objets et à effectuer un grand nombre d'opérations d'E/S de fichier ou de registre. Cela entraînera également le remplissage complet du journal dans un laps de temps extrêmement court.