Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Вы можете настроить права доступа безопасности к журналам событий в Windows. Эти параметры можно настроить локально или с помощью групповой политики. В этой статье описывается, как использовать оба этих метода.
Область применения: все версии Windows
Исходный номер базы знаний: 323076
Итоги
Вы можете предоставить пользователям один или несколько следующих прав доступа к журналам событий:
- Читать
- Запись
- Очистить
Внимание
Журнал безопасности можно настроить таким же образом. Однако можно изменить только разрешения на чтение и очистку доступа. Доступ на запись в журнал безопасности зарезервирован только для локального центра безопасности Windows (LSA) и удостоверений, у которых включена привилегия Управление аудитом и журналом безопасности .
Для этого можно использовать политику административных шаблонов. Например, путь к системному журналу событий:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Система
Параметр настраивает доступ к журналам и принимает ту же строку языка определения дескриптора безопасности (SDDL).
Microsoft предлагает перейти на этот способ.
Настройка безопасности журнала событий локально
Внимание
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Безопасность каждого журнала настраивается локально с помощью значений в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogреестра.
Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
И дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.
Дескриптор безопасности для каждого журнала указывается с помощью синтаксиса SDDL. Дополнительные сведения о синтаксисе SDDL см. в пакете SDK для платформы или в статье, описанной в разделе "Ссылки " этой статьи.
Чтобы создать строку SDDL, обратите внимание, что существуют три отдельные права, относящиеся к журналам событий: чтение, запись и очистка. Эти права соответствуют следующим битам в поле прав доступа строки ACE:
- 1= чтение
- 2 = запись
- 4 = Очистить
Ниже приведен пример SDDL, в котором показана строка SDDL по умолчанию для системного журнала. Права доступа (в шестнадцатеричном) полужирным шрифтом для иллюстрации:
O:BAG:SYD:(A;; 0xf0007;;; SY)(A;; 0x7;;; BA)(A;; 0x3;;; BO)(A;; 0x5;;; SO)(A;; 0x1;;; IU)(A;; 0x3;;; SU)(A;; 0x1;;; S-1-5-3)(A;; 0x2;;; S-1-5-33)(A;; 0x1;;; S-1-5-32-573)
Например, первый ACE предоставляет системе полный контроль доступа к журналу. Пятый элемент ACE разрешает интерактивным пользователям доступ к журналу на чтение.
Настройка безопасности журнала приложений и системных журналов с помощью локальной групповой политики компьютера
- Нажмите кнопку "Пуск", выберите "Выполнить", введите gpedit.msc и нажмите кнопку "ОК".
- В редакторе групповых политик разверните следующее дерево папок в разделе Конфигурация> компьютераАдминистративные шаблоны>Компоненты> WindowsСлужба журнала событий.
- В качестве примера журнала событий приложения во вложенной папке Приложение дважды щелкните Настроить доступ к журналу, выберите Включить, введите строку SDDL, которая требуется для безопасности журнала, а затем нажмите кнопку ОК.
- Не обязательно устанавливать параметр «Настройка доступа к журналам (устаревшие)». Этот вариант предназначен для операционных систем старше Windows Vista.
Настройка безопасности приложений и системных журналов с помощью групповой политики
- Запустите консоль управления групповыми политиками.
- Выберите OU, где расположены целевые компьютеры, или корень домена, если вы хотите определить это для всех компьютеров в домене.
- Выберите существующую политику, к которой нужно добавить разрешения, или создайте новую политику с правами доступа к журналу событий.
- Right-Click политику и выберите Изменить.
- Появится оснастка MMC локальной групповой политики.
- Разверните раздел "Конфигурация компьютера", разверните раздел "Параметры Windows", разверните раздел "Параметры безопасности", разверните узел "Локальные политики" и выберите "Параметры безопасности".
- Дважды щелкните журнал событий: SDDL журнала приложений, введите строку SDDL, которую требуется обеспечить безопасность журнала, и нажмите кнопку "ОК".
- Дважды щелкните журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется обеспечить безопасность журнала, и нажмите кнопку "ОК".
Ссылки
Дополнительные сведения о синтаксисе SDDL и создании строки SDDL см. в разделе "Формат строки дескриптора безопасности".