Sicherheit des Ereignisprotokolls lokal oder mithilfe von Gruppenrichtlinien in Windows Server 2003 einrichten

Artikel-ID: 323076 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
323076
(http://support.microsoft.com/kb/323076/EN-US/ )
How to set event log security locally or by using Group Policy in Windows Server 2003
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Windows Server 2003 ermöglicht es Administratoren, die Sicherheitszugriffsrechte auf ihre Ereignisprotokolle anzupassen. Diese Einstellungen können lokal oder über eine Gruppenrichtlinie konfiguriert werden. Dieser Artikel beschreibt die Verwendung sowohl der einen als auch der anderen Methode.

Sie können Benutzern eines oder mehrere der folgenden Zugriffsrechte auf Ereignisprotokolle einräumen:
  • Lesen
  • Schreiben
  • Löschen
Wichtig: Sie können das Sicherheitsprotokoll in gleicher Form konfigurieren. Sie können jedoch nur die Zugriffsrechte "Lesen" und "Löschen" ändern. Der Schreibzugriff auf das Sicherheitsprotokoll ist nur der lokalen Sicherheitsautorität (Local Security Authority, LSA) in Windows vorbehalten.

Die Sicherheit von Ereignisprotokollen lokal konfigurieren

Warnung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.
Die Sicherheit der einzelnen Protokolls wird lokal über die Werte im folgenden Registrierungsschlüssel konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Die Sicherheitsbeschreibung für das Anwendungsprotokoll wird beispielsweise über den folgenden Registrierungswert konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
Die Sicherheitsbeschreibung für das Systemprotokoll wird über den folgenden Wert konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
Die Sicherheitsbeschreibung die einzelnen Protokolle wird mithilfe der Security Descriptor Definition Language (SDDL)-Syntax verfasst: Weitere Informationen zur SDDL-Syntax finden Sie auf dem Platform SDK oder auf der im Abschnitt "Informationsquellen" genannten Microsoft-Website.

Wenn Sie eine SDDL-Zeichenfolge erstellen möchten, beachten Sie, dass es drei verschiedene Berechtigungen gibt, die Ereignisprotokolle betreffen: Lesen, Schreiben und Löschen. Diese Berechtigungen beziehen sich auf die folgenden Bits im Feld Zugriffsrechte der ACE-Zeichenfolge:
  • 1= Lesen
  • 2 = Schreiben
  • 4 = Löschen
Die folgende Beispiel-SDDL zeigt die standardmäßige SDDL-Zeichenfolge für das Anwendungsprotokoll. Die Zugriffsrechte (im Hexadezimalformat) sind aus Gründen der Veranschaulichung fett formatiert:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Die erste ACE verweigert beispielsweise anonymen Benutzern Lese-, Schreib- und Löschzugriff auf das Protokoll. Die sechste ACE gewährt interaktiven Benutzern Lese- und Schreibzugriff auf das Protokoll.

Modifizieren der lokalen Richtlinie, um die Anpassung der Sicherheit Ihrer Ereignisprotokolle zu ermöglichen

  1. Erstellen Sie eine Sicherungskopie der Datei "%WinDir%\Inf\Sceregvl.inf" an einem bekannten Speicherort.
  2. Öffnen Sie im Editor die Datei "%WinDir%\Inf\Sceregvl.inf".
  3. Blättern Sie zur Mitte der Datei, und stellen Sie den Zeiger direkt vor [Strings] (Zeichenfolgen).
  4. Fügen Sie die folgenden Zeilen ein:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. Blättern Sie weiter zum Ende der Datei, und fügen Sie danach die folgenden Zeilen ein:
    AppLogSD="Event log: Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

    SysLogSD="Event log: Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
  6. Speichern und schließen Sie die Datei.
  7. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regsvr32 scecli.dll in das Feld Öffnen ein, und drücken Sie die [EINGABETASTE].
  8. Klicken Sie im Dialogfeld DllRegisterServer in scecli.dll succeeded auf OK.

Mithilfe der lokalen Gruppenrichtlinie des Computers die Sicherheit Ihrer Anwendungen und Ihrer Systemprotokolle einrichten

  1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie im Gruppenrichtlinien-Editor Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  3. Doppelklicken Sie auf Event log: Application log SDDL (Ereignisprotokoll: Anwendungsprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
  4. Doppelklicken Sie auf Event log: System log SDDL (Ereignisprotokoll: Systemprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.

Mithilfe einer Gruppenrichtlinie in Active Directory die Sicherheit Ihrer Anwendungs- und Systemprotokolle für eine Domäne, eine Site oder eine Organisationseinheit einrichten

Wichtig: Wenn Sie die Einstellungen der Gruppenrichtlinie, die in diesem Artikel im Gruppenrichtlinien-Editor beschrieben werden, anzeigen möchten, führen Sie erst die folgenden Schritte durch, und fahren Sie anschließend mit dem Abschnitt "Mithilfe einer Gruppenrichtlinie die Sicherheit Ihrer Anwendungs- und Systemprotokolle einrichten" fort:
  1. Öffnen Sie die Datei "Sceregvl.inf" im Ordner "%Windir%\Inf" mithilfe eines Texteditors, beispielsweise Microsoft Editor.
  2. Fügen Sie die folgenden Zeilen zum Abschnitt [Register Registry Values] (Registrierungswerte registrieren) hinzu:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. Fügen Sie folgende Zeilen zum Abschnitt [Strings] (Zeichenfolgen) hinzu:
    AppCustomSD="Eventlog: Security descriptor for Application event log"
    SecCustomSD="Eventlog: Security descriptor for Security event log"
    SysCustomSD="Eventlog: Security descriptor for System event log"
    DSCustomSD="Eventlog: Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog: Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog: Security descriptor for File Replication Service event log"
  4. Speichern Sie die Änderungen, die Sie an der Datei "Sceregvl.inf" vorgenommen haben, und führen Sie anschließend den Befehl regsvr32 scecli.dll aus.
  5. Starten Sie "Gpedit.msc", und doppelklicken Sie danach auf folgende Zweige, um sie zu erweitern:
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen
  6. Im rechten Fensterbereich finden Sie die neuen "Eventlog"-Einstellungen, also die Einstellungen für das Ereignisprotokoll.

Mithilfe einer Gruppenrichtlinie die Sicherheit Ihrer Anwendungs- und Systemprotokolle einrichten

  1. Klicken Sie im Snap-In "Active Directory-Standorte und -Dienste" oder im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf das Objekt, für das Sie die Richtlinie einrichten möchten, und klicken Sie danach auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
  3. Wenn Sie eine neue Richtlinie erstellen müssen, klicken Sie auf Neu, und legen Sie anschließend den Namen der Richtlinie fest. Fahren Sie andernfalls mit Schritt 5 fort.
  4. Wählen Sie die gewünschte Richtlinie aus, und klicken Sie dann auf Bearbeiten.

    Das MMC-Snap-In für lokale Gruppenrichtlinien wird angezeigt.
  5. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  6. Doppelklicken Sie auf Event log: Application log SDDL (Ereignisprotokoll: Anwendungsprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
  7. Doppelklicken Sie auf Event log: System log SDDL (Ereignisprotokoll: Systemprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.


Zum Anfang | Ihr Feedback an uns

Informationsquellen

Weitere Informationen zur SDDL-Syntax sowie dazu, wie Sie eine SDDL-Zeichenfolge aufbauen, finden Sie auf der folgenden Microsoft-Website:
Zeichenfolgeformat der Sicherheitsbeschreibung
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/security_descriptor_string_format.asp
(http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/security_descriptor_string_format.asp)
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 323076 - Geändert am: Montag, 16. Oktober 2006 - Version: 8.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition
Keywords: 
kbmgmtservices kbhowtomaster KB323076
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang