Ereignisprotokollierungssicherheit
Das Sicherheitsprotokoll ist für die Verwendung durch das System konzipiert. Benutzer können das Sicherheitsprotokoll jedoch lesen und löschen, wenn ihnen die SE_SECURITY_NAME-Berechtigung (Benutzerrecht "Überwachung und Sicherheitsprotokoll verwalten") gewährt wurde. Weitere Informationen finden Sie unter Berechtigungen.
Nur die lokale Sicherheitsautorität (Local Security Authority, Lsass.exe) verfügt über Schreibberechtigungen für das Sicherheitsprotokoll . Kein anderes Konto kann diese Berechtigung anfordern. Verwenden Sie die Funktion AuthzReportSecurityEvent, um ein Ereignis in das Sicherheitsprotokoll zu schreiben.
Der Zugriff auf das Anwendungsprotokoll , das Systemprotokoll und benutzerdefinierte Protokolle ist eingeschränkt. Das System gewährt Zugriff basierend auf den Zugriffsrechten, die dem Konto gewährt werden, unter dem der Thread ausgeführt wird. Die folgende Tabelle zeigt, welche Zugriffstypen für die Ereignisprotokollierungsfunktionen erforderlich sind.
| Zugriffsrecht | BESCHREIBUNG |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Erforderlich für ClearEventLog. |
| ELF_LOGFILE_READ (0x0001) | Erforderlich für OpenBackupEventLog und OpenEventLog. |
| ELF_LOGFILE_WRITE (0x0002) | Erforderlich für RegisterEventSource. |
Verwenden Sie den Registrierungswert CustomSD , um die Sicherheit des Anwendungsprotokolls , des Systemprotokolls und benutzerdefinierter Protokolle zu konfigurieren. Weitere Informationen finden Sie unter Eventlog Key.
Windows XP/2000: In der folgenden Tabelle werden die Zugriffsrechte beschrieben, die für jedes Konto für jedes Protokoll gewährt werden.
| Log | Konto | Lesen | Schreiben | Clear |
|---|---|---|---|---|
| Anwendung | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | X | |
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | X | ||
| System | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | ||
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | |||
| Benutzerdefiniert | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | X | |
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | X |
Um den Mitgliedern des Gastkontos Zugriff zu gewähren, ändern Sie den folgenden Registrierungswert:
HKEY_LOCAL_MACHINE\SYSTEM\Currentcontrolset\Dienstleistungen\Eventlog\Protokoll\RestrictGuestAccess