Cómo establecer la seguridad del registro de eventos localmente o mediante directiva de grupo

  • Artículo

Puede personalizar los derechos de acceso de seguridad a sus registros de eventos en Windows Server 2012. Esta configuración se puede configurar localmente o a través de directiva de grupo. En este artículo se describe cómo usar estos dos métodos.

Se aplica a: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Número de KB original: 323076

Resumen

Puede conceder a los usuarios uno o varios de los siguientes derechos de acceso a los registros de eventos:

  • Lectura
  • Escritura
  • Clear

Importante

Puede configurar el registro de seguridad de la misma manera. Sin embargo, solo puede cambiar los permisos de acceso Lectura y Borrar. El acceso de escritura al registro de seguridad solo está reservado para la entidad de seguridad local (LSA) de Windows.

Para ello, puede usar una directiva de plantilla administrativa. La ruta de acceso del registro de eventos del sistema, por ejemplo, es:

Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicio de registro de eventos\Sistema

La configuración es configurar el acceso al registro y toma la misma cadena de lenguaje de definición de descriptor de seguridad (SDDL).

Microsoft sugiere pasar a este método una vez que esté en Windows Server 2012.

Configuración local de la seguridad del registro de eventos

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

La seguridad de cada registro se configura localmente a través de los valores de la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogdel Registro .

Por ejemplo, el descriptor de seguridad del registro de aplicaciones se configura mediante el siguiente valor del Registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Y el descriptor de seguridad del registro del sistema se configura a través de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

El descriptor de seguridad de cada registro se especifica mediante la sintaxis SDDL. Para obtener más información sobre la sintaxis de SDDL, consulte el SDK de plataforma o consulte el artículo mencionado en la sección Referencias de este artículo.

Para construir una cadena SDDL, tenga en cuenta que hay tres derechos distintos que pertenecen a los registros de eventos: Lectura, Escritura y Borrar. Estos derechos corresponden a los siguientes bits en el campo de derechos de acceso de la cadena ACE:

  • 1= Lectura
  • 2 = Escritura
  • 4 = Borrar

A continuación se muestra un SDDL de ejemplo que muestra la cadena SDDL predeterminada para el registro de aplicaciones. Los derechos de acceso (en hexadecimal) están en negrita para ilustrar:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Por ejemplo, la primera ACE deniega el acceso de lectura, escritura y borrado de usuarios anónimos al registro. La sexta ACE permite a los usuarios interactivos leer y escribir en el registro.

Modificación de la directiva local para permitir la personalización de la seguridad de los registros de eventos

  1. Realice una copia de seguridad del archivo %WinDir%\Inf\Sceregvl.inf en una ubicación conocida.

  2. Abra %WinDir%\Inf\Sceregvl.inf en el Bloc de notas.

  3. Desplácese hasta el centro del archivo y, a continuación, coloque el puntero inmediatamente antes de [Cadenas].

  4. Inserte las líneas siguientes:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Desplácese hasta el final del archivo e inserte las líneas siguientes:

    AppLogSD="Registro de eventos: especifique la seguridad del registro de la aplicación en la sintaxis del lenguaje de definición de descriptor de seguridad (SDDL) "
    SysLogSD="Registro de eventos: especifique la seguridad del registro del sistema en la sintaxis del lenguaje de definición de descriptor de seguridad (SDDL) "

  6. Guarde los cambios y, a continuación, cierre el archivo.

  7. Seleccione Inicio, seleccione Ejecutar, escriba regsvr32 scecli.dll en el cuadro Abrir y presione ENTRAR.

  8. En el cuadro de diálogo DllRegisterServer de scecli.dll correcto , seleccione Aceptar.

Use la directiva de grupo local del equipo para establecer la seguridad del registro de la aplicación y del sistema.

  1. Seleccione Inicio, ejecutar, escriba gpedit.msc y, a continuación, seleccione Aceptar.
  2. En el editor de directiva de grupo, expanda Configuración de Windows, configuración de seguridad, directivas localesy, a continuación, expanda Opciones de seguridad.
  3. Haga doble clic en Registro de eventos: SDDL del registro de aplicaciones, escriba la cadena SDDL que desee para la seguridad del registro y, a continuación, seleccione Aceptar.
  4. Haga doble clic en Registro de eventos: SDDL del registro del sistema, escriba la cadena SDDL que desee para la seguridad del registro y, a continuación, seleccione Aceptar.

Use la directiva de grupo para establecer la seguridad del registro de la aplicación y del sistema para un dominio, sitio o unidad organizativa en Active Directory.

Importante

Para ver la configuración de directiva de grupo que se describe en este artículo en el editor de directiva de grupo, complete primero los pasos siguientes y, a continuación, continúe con la sección Usar directiva de grupo para establecer la seguridad del registro de la aplicación y del sistema:

  1. Use un editor de texto como bloc de notas para abrir Sceregvl.inf en la carpeta %Windir%\Inf.

  2. Agregue las líneas siguientes a la sección [Registrar valores del Registro]:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Agregue las líneas siguientes a la sección [Cadenas]:

    AppCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos de la aplicación"
    SecCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos de seguridad"
    SysCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos del sistema"
    DSCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos del servicio de directorio"
    DNSCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos del servidor DNS"
    FRSCustomSD="Eventlog: Descriptor de seguridad para el registro de eventos del servicio de replicación de archivos"

  4. Guarde los cambios realizados en el archivo Sceregvl.inf y, a continuación, ejecute el regsvr32 scecli.dll comando .

  5. Inicie Gpedit.msc y haga doble clic en las siguientes ramas para expandirlas:

    Configuración del equipo
    Configuración de Windows
    Configuración de seguridad
    Directivas locales
    Opciones de seguridad

  6. Vea el panel derecho para encontrar la nueva configuración de Eventlog.

Uso de la directiva de grupo para establecer la seguridad de registro de la aplicación y del sistema

  1. En el complemento Sitios y servicios de Active Directory o en el complemento Usuarios y equipos de Active Directory, haga clic con el botón derecho en el objeto para el que desea establecer la directiva y, a continuación, seleccione Propiedades.

  2. Seleccione la pestaña directiva de grupo.

  3. Si debe crear una nueva directiva, seleccione Nuevo y, a continuación, defina el nombre de la directiva. De lo contrario, vaya al paso 5.

  4. Seleccione la directiva que desee y, a continuación, seleccione Editar.

    Aparece el complemento MMC local directiva de grupo.

  5. Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas localesy, a continuación, seleccione Opciones de seguridad.

  6. Haga doble clic en Registro de eventos: SDDL del registro de aplicaciones, escriba la cadena SDDL que desee para la seguridad del registro y, a continuación, seleccione Aceptar.

  7. Haga doble clic en Registro de eventos: SDDL del registro del sistema, escriba la cadena SDDL que desee para la seguridad del registro y, a continuación, seleccione Aceptar.

Referencias

Para obtener más información sobre la sintaxis de SDDL y sobre cómo construir una cadena SDDL, vea Formato de cadena de descriptor de seguridad.