您可以在 Windows 中自訂對其事件日誌的安全存取權限。 這些設定可以在本機或透過組策略進行設定。 本文說明如何使用這兩種方法。
適用於: 所有版本的 Windows
原始 KB 編號: 323076
摘要
您可以將下列一或多個存取權限授與使用者事件記錄:
- 讀取
- 寫入
- 晴
重要
您可以使用相同的方式設定安全性記錄。 不過,您只能變更 [讀取] 和 [清除] 訪問許可權。 對安全日誌的寫入訪問許可權僅保留給啟用了 Manage auditing and security log (管理審核和安全日誌 ) 權限的 Windows 本地安全機構 (LSA) 和身份。
您可以針對目的使用系統管理範本原則。 例如,System Eventlog 的路徑為:
計算機設定\系統管理範本\Windows 元件\事件記錄服務\系統
此設定會 設定記錄存取 ,而且會採用相同的安全性描述元定義語言 (SDDL) 字串。
Microsoft 建議改用此方法。
在本機設定事件記錄檔安全性
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
每個記錄檔的安全性都是透過登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog中的值在本機設定。
例如,應用程式記錄檔安全性描述元是透過下列登錄值來設定: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
而且系統記錄安全性描述項是透過 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD設定的。
每個記錄的安全性描述元都是使用 SDDL 語法來指定。 如需 SDDL 語法的詳細資訊,請參閱平臺 SDK,或參閱本文<參考>一節中所述的文章。
若要建構 SDDL 字串,請注意事件記錄檔有三個不同的許可權:讀取、寫入和清除。 這些權限會對應至 ACE 字串之存取權限欄位中的下列位:
- 1= 讀取
- 2 = 寫入
- 4 = 清除
下面是一個示例 SDDL,其中顯示了系統日誌的預設 SDDL 字串。 存取權限(以十六進位為單位)為粗體,以圖例所示:
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x3;;;BO)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x3;;;SU)(A;;0x1;;;S-1-5-3)(A;;0x2;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)
例如,第一個 ACE 允許系統對日誌進行完全控制訪問。 第五個 ACE 允許互動式使用者對日誌進行讀取訪問。
使用電腦的本地組原則來設定您的應用程式和系統記錄安全性
- 選取 [開始],選取 [執行],輸入 gpedit.msc,然後選取 [確定]。
- 在元件編輯器中,展開以下資料夾樹 電腦 設定>管理範本>Windows 元件>事件紀錄服務 。
- 有關應用程式事件日誌的示例,在子資料夾 Application 中,按兩下 Configure log access,選擇 Enable,鍵入要用於日誌安全性的 SDDL 字串,然後選擇 OK。
- 無需設置 Configure Log Access(Legacy)。 此選項適用於早於 Windows Vista 的作系統。
使用組策略來設定應用程式和系統記錄安全性
- 啟動組策略管理主控台。
- 選擇目標電腦所在的 OU,或者如果要為域中的所有電腦定義此 OU,請選擇域根。
- 選擇要添加許可權的現有策略,或使用 Eventlog 訪問許可權創建新策略。
- Right-Click 策略,然後選擇 「編輯」。
- [本地組原則] MMC 嵌入式管理單元隨即出現。
- 依序展開 [計算機設定]、[Windows 設定]、[安全性設定]、[本機原則],然後選取 [安全性選項]。
- 按兩下 [事件記錄檔:應用程式記錄檔 SDDL],輸入您想要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
- 按兩下 [事件記錄檔:系統記錄檔 SDDL],輸入您想要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
參考資料
如需 SDDL 語法以及如何建構 SDDL 字串串的詳細資訊,請參閱 安全性描述元字串格式。