Например, если обычный пользователь хочет выполнить установку программного обеспечения, для чего потребуются права администратора, то для авторизации действия необходимо будет использовать учетные данные администратора. Так ведет ли Windows или активный каталог журнал учетной записи администратора, которая использовалась для авторизации установки? Если да, то где вы будете искать информацию?
Примечание. Служба активных каталогов работает в Windows Server 2008, клиенты в основном Windows 10 Pro
Аудит Uac осуществляется путем изменения политики Windows (Local\Group). Интересующая политика находится по адресу: Конфигурация компьютера \ Политики \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Политика аудита
Использование привилегий аудита предоставит вам информацию о повышенном уровне использования с помощью диалогового окна UAC grant.exe в журнале системных событий. Идентификаторы событий, созданные этим: 4648 и 4624.
Аудит процессов отслеживания предоставит вам информацию о процессах и их создании / прекращении. Идентификатор события, созданный этим: 4688.
Кроме того, посмотрите на событие 4696, чтобы увидеть, когда новый токен (дескриптор входа пользователя) был назначен процессу. Используя все эти события, вы можете получить четкое представление о временной шкале для каждого процесса, который запросил повышенные права в диалоговом окне UAC.
