Udostępnij za pośrednictwem

Jak ustawić zabezpieczenia dziennika zdarzeń lokalnie lub przy użyciu zasad grupy

Prawa dostępu zabezpieczeń do ich dzienników zdarzeń można dostosować w systemie Windows. Te ustawienia można skonfigurować lokalnie lub za pomocą zasad grupy. W tym artykule opisano sposób używania obu tych metod.

Dotyczy: wszystkie wersje systemu Windows
Oryginalny numer KB: 323076

Podsumowanie

Możesz przyznać użytkownikom co najmniej jedno z następujących praw dostępu do dzienników zdarzeń:

  • Przeczytaj
  • Napisz
  • Czyste

Ważne

Dziennik zabezpieczeń można skonfigurować w taki sam sposób. Można jednak zmienić tylko uprawnienia do odczytu i czyszczenia dostępu. Dostęp do zapisu w dzienniku zabezpieczeń jest zarezerwowany tylko dla urzędu zabezpieczeń lokalnych systemu Windows (LSA) i tożsamości, które mają włączone uprawnienie Zarządzanie inspekcją i dziennikiem zabezpieczeń .

W tym celu można użyć zasad szablonu administracyjnego. Na przykład ścieżka do dziennika zdarzeń systemowych jest następująca:

Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\System

To ustawienie umożliwia skonfigurowanie dostępu do dziennika i przyjmuje ten sam ciąg języka SDDL (Security Descriptor Definition Language).

Microsoft sugeruje przejście na tę metodę.

Lokalne konfigurowanie zabezpieczeń dziennika zdarzeń

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Zabezpieczenia każdego dziennika są konfigurowane lokalnie za pomocą wartości w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogrejestru .

Na przykład deskryptor zabezpieczeń dziennika aplikacji jest skonfigurowany za pomocą następującej wartości rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Deskryptor zabezpieczeń dziennika systemu jest konfigurowany za pomocą programu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

Deskryptor zabezpieczeń dla każdego dziennika jest określany przy użyciu składni SDDL. Aby uzyskać więcej informacji na temat składni SDDL, zobacz zestaw SDK platformy lub zobacz artykuł wymieniony w sekcji Odwołania w tym artykule.

Aby utworzyć ciąg SDDL, należy pamiętać, że istnieją trzy odrębne prawa dotyczące dzienników zdarzeń: Odczyt, Zapis i Wyczyść. Te prawa odpowiadają następującym bitom w polu praw dostępu ciągu ACE:

  • 1 = Odczyt
  • 2 = Zapis
  • 4 = Wyczyść

Poniżej znajduje się przykładowy plik SDDL, który pokazuje domyślny ciąg SDDL dla dziennika systemu. Prawa dostępu (w formacie szesnastkowym) są pogrubione do ilustracji:

O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)

Na przykład pierwszy wpis ACE umożliwia systemowi pełną kontrolę dostępu do dziennika. Piąty wpis ACE zezwala interaktywnym użytkownikom na odczyt logu.

Użyj lokalnych zasad grupy komputera, aby ustawić zabezpieczenia aplikacji i dziennika systemu

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz gpedit.msc, a następnie wybierz przycisk OK.
  2. W Edytorze zasad grupy rozwiń następujące drzewo folderów w obszarze Konfiguracja> komputeraSzablony administracyjne> Składniki >systemu WindowsUsługa dziennika zdarzeń.
  3. W przykładzie dziennika zdarzeń aplikacji w podfolderze Aplikacja kliknij dwukrotnie pozycję Konfiguruj dostęp do dziennika, wybierz pozycję Włącz, wpisz ciąg SDDL dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.
  4. Nie trzeba konfigurować Konfiguruj dostęp do dziennika (wersja Legacy). Opcja jest przeznaczona dla systemów operacyjnych starszych niż Windows Vista.

Ustawianie zabezpieczeń aplikacji i dziennika systemu przy użyciu zasad grupy

  1. Uruchom konsolę zarządzania zasadami grupy.
  2. Wybierz jednostkę organizacyjną, w której znajdują się komputery, lub katalog główny domeny, jeśli chcesz zdefiniować to dla wszystkich komputerów w domenie.
  3. Wybierz istniejącą zasadę, do której chcesz dodać uprawnienia, lub utwórz nową zasadę z uprawnieniami dostępu do dziennika zdarzeń.
  4. Right-Click polisa i wybierz Edytuj.
  5. Zostanie wyświetlona przystawka MMC lokalnych zasad grupy.
  6. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie wybierz pozycję Opcje zabezpieczeń.
  7. Kliknij dwukrotnie dziennik zdarzeń: Plik SDDL dziennika aplikacji, wpisz ciąg SDDL, który ma być przeznaczony dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.
  8. Kliknij dwukrotnie dziennik zdarzeń: Dziennik systemu SDDL, wpisz ciąg SDDL, który chcesz uzyskać dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.

Informacje

Aby uzyskać więcej informacji na temat składni SDDL i sposobu konstruowania ciągu SDDL, zobacz Security Descriptor String Format (Format ciągu deskryptora zabezpieczeń).