Win11如何启用和配置审核策略 Win11系统安全日志审计教程【安全】

若Windows 11中无关键安全事件日志，需依次启用本地审核策略（secpol.msc）、配置高级审计（gpedit.msc）、调整安全日志大小与覆盖规则，并通过错误/正确登录验证4624/4625事件是否生成。

如果您希望在Windows 11系统中记录关键安全事件（如登录尝试、文件访问、策略更改等），但未看到相关日志条目，则可能是审核策略尚未启用或配置不完整。以下是启用和配置审核策略的具体操作步骤：

本文运行环境：Surface Laptop 5，Windows 11 22H2

一、通过本地安全策略启用基础审核项

该方法适用于未加入域的Windows 11专业版/企业版设备，使用内置的secpol.msc控制台直接配置核心审核策略。

1、按 Win + R 打开运行对话框，输入 secpol.msc 并回车。

2、在左侧面板中依次展开 本地策略 → 审核策略。

3、在右侧面板中，双击以下每一项策略，勾选 “成功”和“失败” 复选框，点击【确定】：

　　• 审核账户登录事件

　　• 审核对象访问

　　• 审核策略更改

　　• 审核特权使用

　　• 审核进程跟踪

二、通过组策略编辑器配置精细化审计

该方法支持更细粒度的控制，例如仅对特定文件夹启用访问审计，并要求目标对象已配置SACL（系统访问控制列表）。

1、按 Win + R 打开运行对话框，输入 gpedit.msc 并回车。

2、依次导航至：计算机配置 → Windows 设置 → 安全设置 → 高级审核策略配置 → 系统审计策略。

3、在右侧启用以下策略（双击→选择“已启用”→勾选“成功”和“失败”）：

　　• 登录/注销

　　• 对象访问

　　• 特权使用

标签： windows 计算机 win11 win windows 11 win11系统