Auditpol komutu, Windows sistemlerinde güvenlik denetimi ayarlarını yönetmek için kullanılan bir komut satırı aracıdır. Bu araç sayesinde, yerel veya uzaktan sistemlerde güvenlik denetimlerini etkinleştirebilir, devre dışı bırakabilir ve çeşitli güvenlik olay kategorileri için denetim kriterlerini ayarlayabilirsiniz.
Kullanım Senaryosu
Bir saldırgan, sistemde yönetici ayrıcalıkları elde ettiğinde, izlerini gizlemek amacıyla denetim kayıtlarını devre dışı bırakmak için auditpol.exe aracını kullanabilir. Görevini tamamladıktan sonra, denetimleri yeniden etkinleştirerek iz bırakmamak isteyebilir.
1 . Tüm Denetim Politikalarını Görüntüleme
auditpol /get /category:*
Bu komut, sistemdeki tüm denetim politikalarını görüntüler.
2. Denetim Politikalarını Etkinleştirme:
auditpol /set /category:"system","account logon" /success:enable /failure:enable
Bu komut, "system" ve "account logon" kategorilerindeki denetim politikalarını hem başarı hem de başarısızlık durumlarında etkinleştirir.
3. Denetim Politikalarını Temizleme:
auditpol /clear /y
Bu komut, mevcut denetim politikalarını temizler. Saldırganlar, izlerini gizlemek amacıyla bu komutu kullanabilir.