Seguridad del registro de eventos
El registro de seguridad está diseñado para su uso por el sistema. Sin embargo, los usuarios pueden leer y borrar el registro de seguridad si se les ha concedido el privilegio SE_SECURITY_NAME (el derecho de usuario "administrar la auditoría y el registro de seguridad"). Para obtener más información, consulte Privilegios.
Solo la entidad de seguridad local (Lsass.exe) tiene permiso de escritura para el registro de seguridad . Ninguna otra cuenta puede solicitar este privilegio. Para escribir un evento en el registro de seguridad , use la función AuthzReportSecurityEvent .
El acceso al registro de aplicaciones, el registro del sistema y los registros personalizados están restringidos. El sistema concede acceso basado en los derechos de acceso concedidos a la cuenta en la que se ejecuta el subproceso. En la tabla siguiente se muestran los tipos de acceso que requieren las funciones de registro de eventos.
| Derecho de acceso | Descripción |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Requerido por ClearEventLog. |
| ELF_LOGFILE_READ (0x0001) | Requerido por OpenBackupEventLog y OpenEventLog. |
| ELF_LOGFILE_WRITE (0x0002) | Requerido por RegisterEventSource. |
Use el valor del Registro CustomSD para configurar la seguridad del registro de aplicaciones, el registro del sistema y los registros personalizados. Para obtener más información, consulte Clave de registro de eventos.
Windows XP/2000: En la tabla siguiente se describen los derechos de acceso concedidos para cada cuenta en cada registro.
| Log | Cuenta | Leer | Escritura | Borrar |
|---|---|---|---|---|
| Aplicación | Administradores (sistema) | X | x | X |
| Administradores (dominio) | X | x | x | |
| LocalSystem (Sistema local) | X | X | X | |
| Usuario interactivo | X | X | ||
| Sistema | Administradores (sistema) | X | x | X |
| Administradores (dominio) | X | X | ||
| LocalSystem (Sistema local) | X | X | X | |
| Usuario interactivo | X | |||
| Personalizada | Administradores (sistema) | x | X | X |
| Administradores (dominio) | X | X | X | |
| LocalSystem (Sistema local) | X | X | X | |
| Usuario interactivo | X | x |
Para conceder acceso a los miembros de la cuenta de invitado, cambie el siguiente valor del Registro:
HKEY_LOCAL_MACHINE\SISTEMA\Currentcontrolset\Servicios\Eventlog\Registro\RestrictGuestAccess
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de