您可以在 Windows 中自定义对其事件日志的安全访问权限。 这些设置可以在本地或通过组策略进行配置。 本文介绍如何使用这两种方法。
适用于: 所有版本的 Windows
原始 KB 数: 323076
总结
可以向用户授予对事件日志的一个或多个访问权限:
- 读取
- 写
- 清除
重要
可以采用相同的方式配置安全日志。 但是,只能更改“读取”和“清除”访问权限。 对安全日志的写入访问权限仅保留给启用了 Manage auditing and security log (管理审核和安全日志 ) 权限的 Windows 本地安全机构 (LSA) 和身份。
为此,可以使用管理模板策略。 例如,System Eventlog 的路径为:
计算机配置\管理模板\Windows 组件\事件日志服务\系统
该设置配置 日志访问 ,它采用相同的安全描述符定义语言(SDDL)字符串。
Microsoft 建议改用此方法。
在本地配置事件日志安全性
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅:如何备份和还原 Windows 中的注册表。
每个日志的安全性是通过注册表项 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog中的值在本地配置的。
例如,应用程序日志安全描述符是通过以下注册表值配置的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
系统日志安全描述符通过配置 。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
每个日志的安全描述符是使用 SDDL 语法指定的。 有关 SDDL 语法的详细信息,请参阅平台 SDK,或参阅本文“ 参考 ”部分中提到的文章。
若要构造 SDDL 字符串,请注意,有三个与事件日志相关的不同权限:读取、写入和清除。 这些权限对应于 ACE 字符串的访问权限字段中的以下位:
- 1= 读取
- 2 = 写入
- 4 = 清除
下面是一个示例 SDDL,其中显示了系统日志的默认 SDDL 字符串。 访问权限(以十六进制为单位)为粗体表示:
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
例如,第一个 ACE 允许系统对日志进行完全控制访问。 第五个 ACE 允许交互式用户对日志进行读取访问。
使用计算机的本地组策略设置应用程序和系统日志安全性
- 依次选择“开始”、“运行”、“键入 gpedit.msc”,然后选择“确定”。
- 在组策略编辑器中,展开以下文件夹树 计算机 配置>管理模板>Windows 组件>事件日志服务 。
- 有关应用程序事件日志的示例,在子文件夹 Application 中,双击 Configure log access,选择 Enable,键入要用于日志安全性的 SDDL 字符串,然后选择 OK。
- 无需设置 Configure Log Access (Legacy) (配置日志访问(旧版))。 此选项适用于早于 Windows Vista 的作系统。
使用组策略设置应用程序和系统日志安全性
- 启动组策略管理控制台。
- 选择目标计算机所在的 OU,或者如果要为域中的所有计算机定义此 OU,请选择域根。
- 选择要添加权限的现有策略,或使用 Eventlog 访问权限创建新策略。
- Right-Click 策略,然后选择 “编辑”。
- 此时会显示本地组策略 MMC 管理单元。
- 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后选择“安全选项”。
- 双击 事件日志:应用程序日志 SDDL,键入要用于日志安全的 SDDL 字符串,然后选择“ 确定”。
- 双击 事件日志:系统日志 SDDL,键入要用于日志安全的 SDDL 字符串,然后选择“ 确定”。
参考
有关 SDDL 语法以及如何构造 SDDL 字符串的详细信息,请参阅 安全描述符字符串格式。