Compartir a través de

Cómo establecer la seguridad del registro de eventos localmente o mediante la directiva de grupo

Puede personalizar los derechos de acceso de seguridad a sus registros de eventos en Windows. Estas opciones se pueden configurar localmente o a través de la directiva de grupo. En este artículo se describe cómo usar ambos métodos.

Se aplica a: Todas las versiones de Windows
Número de KB original: 323076

Resumen

Puede conceder a los usuarios uno o varios de los siguientes derechos de acceso a los registros de eventos:

  • Leer
  • Escribir
  • Borrar

Importante

Puede configurar el registro de seguridad de la misma manera. Sin embargo, solo puede cambiar los permisos de acceso de lectura y borrado. El acceso de escritura al registro de seguridad solo está reservado para la autoridad de seguridad local (LSA) de Windows y las identidades que tienen habilitado el privilegio Administrar registro de seguridad y auditoría .

Puede usar una directiva de plantilla administrativa para el propósito. Por ejemplo, la ruta de acceso del registro de eventos del sistema es:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicio de registro de eventos\Sistema

La configuración es configurar el acceso al registro y toma la misma cadena del lenguaje de definición de descriptores de seguridad (SDDL).

Microsoft sugiere pasar a este método.

Configuración local de la seguridad del registro de eventos

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

La seguridad de cada registro se configura localmente a través de los valores de la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogdel Registro .

Por ejemplo, el descriptor de seguridad del registro de aplicaciones se configura mediante el siguiente valor del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Y el descriptor de seguridad del registro del sistema se configura a través de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

El descriptor de seguridad de cada registro se especifica mediante la sintaxis sdDL. Para obtener más información sobre la sintaxis de SDDL, consulte el SDK de plataforma o consulte el artículo mencionado en la sección Referencias de este artículo.

Para construir una cadena SDDL, tenga en cuenta que hay tres derechos distintos que pertenecen a los registros de eventos: Read, Write y Clear. Estos derechos corresponden a los siguientes bits en el campo derechos de acceso de la cadena ACE:

  • 1= Lectura
  • 2 = Escritura
  • 4 = Borrar

A continuación se muestra un ejemplo de SDDL que muestra la cadena de SDDL predeterminada para el registro del sistema. Los derechos de acceso (en hexadecimal) se muestran en negrita para la ilustración:

O:BOLSA:SYD:(A;; 0xf0007;;; SY)(A;; 0x7;;; BA)(A;; 0x3;;; BO)(A;; 0x5;;; SO)(A;; 0x1;;; IU)(A;; 0x3;;; SU)(A;; 0x1;;; S-1-5-3)(A;; 0x2;;; S-1-5-33)(A;; 0x1;;; S-1-5-32-573)

Por ejemplo, la primera ACE permite al sistema el acceso de control total al registro. La quinta ACE permite a los usuarios interactivos leer el registro.

Use la directiva de grupo local del equipo para establecer la seguridad del registro del sistema y la aplicación.

  1. Seleccione Inicio, seleccione Ejecutar, escriba gpedit.msc y, a continuación, seleccione Aceptar.
  2. En el Editor de directivas de grupo, expanda el siguiente árbol de carpetas en Configuración de Equipo>Plantillas administrativas>Componentes de Windows>Servicio de registro de eventos.
  3. Para el ejemplo de registro de eventos de la aplicación, en la subcarpeta Aplicación, haga doble clic en Configurar el acceso al registro, seleccione Habilitar, escriba la cadena SDDL que desee para la seguridad del registro y, a continuación, seleccione Aceptar.
  4. No es necesario configurar Configurar el acceso a registros (heredado). La opción es para sistemas operativos anteriores a Windows Vista.

Uso de la directiva de grupo para establecer la seguridad de la aplicación y del registro del sistema

  1. Inicie la Consola de Administración de Directivas de Grupo.
  2. Seleccione la unidad organizativa en la que se encuentran los equipos de destino o la raíz del dominio si desea definirla para todos los equipos del dominio.
  3. Seleccione una política existente a la que agregar los permisos o cree una nueva política con los permisos de acceso a Eventlog.
  4. Right-Click la política y seleccione Editar.
  5. Aparece el complemento MMC de directiva de grupo local.
  6. Expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas localesy, a continuación, seleccione Opciones de seguridad.
  7. Haga doble clic en Registro de eventos: SDDL del registro de aplicaciones, escriba la cadena SDDL que desea para la seguridad del registro y, a continuación, seleccione Aceptar.
  8. Haga doble clic en Registro de eventos: SDDL del registro del sistema, escriba la cadena SDDL que desea para la seguridad del registro y, a continuación, seleccione Aceptar.

Referencias

Para obtener más información sobre la sintaxis de SDDL y sobre cómo construir una cadena SDDL, vea Formato de cadena del descriptor de seguridad.