1. Bypass traverse checking (по умолчанию эта привилегия предоставлена группе Everyone).
2. Debug programs (по умолчанию эта привилегия предоставлена только группе Administrators).
3. Create a token object (по умолчанию не предоставлена никому).
4. Replace process level token (по умолчанию не предоставлена никому).
5. Generate Security Audits (по умолчанию не предоставлена никому)
6. Backup files and directories (по умолчанию эта привилегия предоставлена группам Administrators и Backup Operators).
7. Restore files and directories (по умолчанию эта привилегия предоставлена группам Administrators и Backup Operators).
Первая привилегия предоставлена всем, поэтому отслеживать ее не имеет смысла. Вторая — отладка программ — не используется в нормально функционирующей системе, и ее можно отозвать даже у администраторов. Привилегии 3-5 очень опасны, поскольку позволяют изменять параметры системы защиты, и их не следует предоставлять кому-либо без особой необходимости.
Напротив, привилегии 6-7 часто используются при обычной работе, поэтому их аудит вовсе небесполезен. Чтобы это сделать, нужно создать в реестре следующий ключ:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:
Название: FullPrivilegeAuditing
Тип: REG_BINARY
Значение: 1
Примечание: использование двух последних привилегий по умолчанию не выполняется по той простой причине, что при резервном копировании и восстановлении будет протоколироваться архивирование/восстановление каждого файла. Нормальная резервная копия может содержать тысячи файлов, поэтому нетрудно представить, какого размера будет журнал событий. Помните об этом, если соберетесь включить аудит использования привилегий резервного копирования/восстановления.