Windows環境での監査ポリシーの設定や操作には、コマンド「auditpol」を使用します。その機能にはシステム全体や個々のユーザーの監査ポリシーを設定すること、CSVフォーマットでの監査ポリシーのバックアップとリストア、また、監査ポリシー項目の削除などが含まれます。
しかし、悪意のある攻撃者の場合、侵入したシステムに残る自己の証拠を消す目的でこのコマンドを悪用する危険も存在します。例えば、「auditpol」を使ってアカウントログイン履歴を無効化したり、監査ポリシー自体を削除したりする等の行為が懸念されます。
