Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können die Sicherheitszugriffsrechte für ihre Ereignisprotokolle in Windows anpassen. Diese Einstellungen können lokal oder über Gruppenrichtlinien konfiguriert werden. In diesem Artikel wird beschrieben, wie Sie beide Methoden verwenden.
Gilt für: Alle Versionen von Windows
Ursprüngliche KB-Nummer: 323076
Zusammenfassung
Sie können Benutzern eines oder mehrere der folgenden Zugriffsrechte für Ereignisprotokolle gewähren:
- Lesen
- Schreiben
- Klar
Wichtig
Sie können das Sicherheitsprotokoll auf die gleiche Weise konfigurieren. Sie können jedoch nur Lese- und Löschberechtigungen ändern. Der Schreibzugriff auf das Sicherheitsprotokoll ist nur für die lokale Windows-Sicherheitsautorität (Local Security Authority, LSA) und Identitäten reserviert, für die die Berechtigung Überwachung und Sicherheitsprotokoll verwalten aktiviert ist.
Sie können eine Administrative Vorlagenrichtlinie für den Zweck verwenden. Der Pfad für das Systemereignisprotokoll lautet beispielsweise:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\System
Die Einstellung konfiguriert den Protokollzugriff und verwendet dieselbe SDDL-Zeichenfolge (Security Descriptor Definition Language).
Microsoft schlägt vor, auf diese Methode umzusteigen.
Konfigurieren der Ereignisprotokollsicherheit lokal
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.
Die Sicherheit der einzelnen Protokolle wird lokal über die Werte im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogkonfiguriert.
Der Anwendungsprotokollsicherheitsdeskriptor wird beispielsweise über den folgenden Registrierungswert konfiguriert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
Und der Systemprotokollsicherheitsdeskriptor wird über HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSDkonfiguriert.
Der Sicherheitsdeskriptor für jedes Protokoll wird mithilfe der SDDL-Syntax angegeben. Weitere Informationen zur SDDL-Syntax finden Sie im Platform SDK oder im Artikel, der im Abschnitt "Verweise " dieses Artikels erwähnt wird.
Um eine SDDL-Zeichenfolge zu erstellen, beachten Sie, dass es drei unterschiedliche Rechte gibt, die sich auf Ereignisprotokolle beziehen: Lesen, Schreiben und Löschen. Diese Rechte entsprechen den folgenden Bits im Feld "Zugriffsrechte" der ACE-Zeichenfolge:
- 1= Gelesen
- 2 = Schreiben
- 4 = Löschen
Im Folgenden finden Sie ein SDDL-Beispiel, das die Standard-SDDL-Zeichenfolge für das Systemprotokoll zeigt. Die Zugriffsrechte (in Hexadezimal) sind zur Veranschaulichung fett formatiert:
O:BAG:SYD:(A;; 0xf0007;;; SY)(A;; 0x7;;; BA)(A;; 0x3;;; BO)(A;; 0x5;;; SO)(A;; 0x1;;; IU)(A;; 0x3;;; SU)(A;; 0x1;;; S-1-5-3)(A;; 0x2;;; S-1-5-33)(A;; 0x1;;; S-1-5-32-573)
Der erste ACE ermöglicht dem System z. B. den Vollzugriff auf das Protokoll. Der fünfte ACE ermöglicht interaktiven Benutzern den Lesezugriff auf das Protokoll.
Verwenden der lokalen Gruppenrichtlinie des Computers zum Festlegen der Anwendungs- und Systemprotokollsicherheit
- Wählen Sie "Start", wählen Sie "Ausführen", geben Sie "gpedit.msc" ein, und wählen Sie dann "OK" aus.
- Erweitern Sie im Gruppenrichtlinien-Editor die folgende Ordnerstruktur unter Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Ereignisprotokolldienst.
- Doppelklicken Sie für das Anwendungsereignisprotokoll im Unterordner Anwendung auf Protokollzugriff konfigurieren, wählen Sie Aktivieren aus, geben Sie die SDDL-Zeichenfolge ein, die Sie für die Protokollsicherheit verwenden möchten, und wählen Sie dann OK aus.
- Es ist nicht erforderlich, die Option Protokollzugriff konfigurieren (Legacy) festzulegen. Die Option gilt für Betriebssysteme, die älter als Windows Vista sind.
Verwenden von Gruppenrichtlinien zum Festlegen der Anwendungs- und Systemprotokollsicherheit
- Starten Sie die Gruppenrichtlinien-Verwaltungskonsole.
- Wählen Sie die Organisationseinheit aus, in der sich die Zielcomputer befinden, oder den Domänenstamm, wenn Sie dies für alle Computer in der Domäne definieren möchten.
- Wählen Sie eine vorhandene Richtlinie aus, der die Berechtigungen hinzugefügt werden sollen, oder erstellen Sie eine neue Richtlinie mit den Zugriffsberechtigungen für das Ereignisprotokoll.
- Right-Click die Richtlinie und Bearbeiten auswählen.
- Das MMC-Snap-In für lokale Gruppenrichtlinien wird angezeigt.
- Erweitern Sie die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und wählen Sie dann "Sicherheitsoptionen" aus.
- Doppelklicken Sie auf "Ereignisprotokoll": Anwendungsprotokoll-SDDL, geben Sie die SDDL-Zeichenfolge ein, die Sie für die Protokollsicherheit benötigen, und wählen Sie dann "OK" aus.
- Doppelklicken Sie auf "Ereignisprotokoll": Systemprotokoll-SDDL, geben Sie die SDDL-Zeichenfolge ein, die Sie für die Protokollsicherheit benötigen, und wählen Sie dann "OK" aus.
Verweise
Weitere Informationen zur SDDL-Syntax und zum Erstellen einer SDDL-Zeichenfolge finden Sie unter Security Descriptor String Format.