Comment définir la sécurité du journal des événements localement ou à l’aide de stratégie de groupe

  • Article

Vous pouvez personnaliser les droits d’accès de sécurité à leurs journaux d’événements dans Windows Server 2012. Ces paramètres peuvent être configurés localement ou via stratégie de groupe. Cet article explique comment utiliser ces deux méthodes.

S’applique à : Windows Server 2012 Standard, Windows Server 2012 Datacenter
Numéro de la base de connaissances d’origine : 323076

Résumé

Vous pouvez accorder aux utilisateurs un ou plusieurs des droits d’accès suivants aux journaux des événements :

  • Lecture
  • Write
  • Effacer

Importante

Vous pouvez configurer le journal de sécurité de la même façon. Toutefois, vous pouvez modifier uniquement les autorisations d’accès en lecture et en clair. L’accès en écriture au journal de sécurité est réservé uniquement à l’autorité de sécurité locale (LSA) Windows.

Vous pouvez utiliser une stratégie de modèle d’administration à cet effet. Le chemin d’accès du journal des événements système, par exemple, est le suivant :

Configuration ordinateur\Modèles d’administration\Composants Windows\Service journal des événements\Système

Le paramètre configure l’accès aux journaux et utilise la même chaîne SDDL (Security Descriptor Definition Language).

Microsoft suggère de passer à cette méthode une fois que vous êtes sur Windows Server 2012.

Configurer la sécurité du journal des événements localement

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

La sécurité de chaque journal est configurée localement via les valeurs de la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogde Registre .

Par exemple, le descripteur de sécurité du journal des applications est configuré via la valeur de Registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Et le descripteur de sécurité du journal système est configuré via HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

Le descripteur de sécurité pour chaque journal est spécifié à l’aide de la syntaxe SDDL. Pour plus d’informations sur la syntaxe SDDL, consultez le Kit de développement logiciel (SDK) platform ou l’article mentionné dans la section Références de cet article.

Pour construire une chaîne SDDL, notez qu’il existe trois droits distincts relatifs aux journaux des événements : Read, Write et Clear. Ces droits correspondent aux bits suivants dans le champ des droits d’accès de la chaîne ACE :

  • 1= Lecture
  • 2 = Écriture
  • 4 = Effacer

Voici un exemple de SDDL qui montre la chaîne SDDL par défaut pour le journal des applications. Les droits d’accès (en hexadécimal) sont mis en gras à titre d’illustration :

O :BAG :SYD :(D ;; 0xf0007 ;;; AN)(D ;; 0xf0007 ;;; BG)(A ;; 0xf0007 ;;; SY)(A ;; 0x5 ;;; BA)(A ;; 0x7 ;;; SO)(A ;; 0x3 ;;; IU)(A ;; 0x2 ;;; BA)(A ;; 0x2 ;;; LS)(A ;; 0x2 ;;; NS)

Par exemple, le premier ACE refuse aux utilisateurs anonymes l’accès en lecture, en écriture et en clair au journal. Le sixième ACE permet aux utilisateurs interactifs de lire et d’écrire dans le journal.

Modifier votre stratégie locale pour permettre la personnalisation de la sécurité de vos journaux d’événements

  1. Sauvegardez le fichier %WinDir%\Inf\Sceregvl.inf à un emplacement connu.

  2. Ouvrez %WinDir%\Inf\Sceregvl.inf dans le Bloc-notes.

  3. Faites défiler jusqu’au milieu du fichier, puis placez le pointeur juste avant [Chaînes].

  4. Insérez les lignes suivantes :

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Faites défiler jusqu’à la fin du fichier, puis insérez les lignes suivantes :

    AppLogSD="Event log : Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax »
    SysLogSD="Journal des événements : spécifiez la sécurité du journal système dans la syntaxe SDDL (Security Descriptor Definition Language) »

  6. Enregistrez et fermez le fichier.

  7. Sélectionnez Démarrer, Exécuter, tapez regsvr32 scecli.dll dans la zone Ouvrir , puis appuyez sur Entrée.

  8. Dans la boîte de dialogue DllRegisterServer de scecli.dll réussi , sélectionnez OK.

Utiliser la stratégie de groupe locale de l’ordinateur pour définir la sécurité de votre application et du journal système

  1. Sélectionnez Démarrer, Exécuter, tapez gpedit.msc, puis sélectionnez OK.
  2. Dans l’éditeur stratégie de groupe, développez Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis Options de sécurité.
  3. Double-cliquez sur Journal des événements : Journal des applications SDDL, tapez la chaîne SDDL souhaitée pour la sécurité du journal, puis sélectionnez OK.
  4. Double-cliquez sur Journal des événements : Journal système SDDL, tapez la chaîne SDDL souhaitée pour la sécurité du journal, puis sélectionnez OK.

Utiliser la stratégie de groupe pour définir la sécurité de votre application et du journal système pour un domaine, un site ou une unité d’organisation dans Active Directory

Importante

Pour afficher les paramètres de stratégie de groupe décrits dans cet article dans l’éditeur stratégie de groupe, commencez par effectuer les étapes suivantes, puis passez à la section Utiliser la stratégie de groupe pour définir la sécurité de votre application et du journal système :

  1. Utilisez un éditeur de texte tel que le Bloc-notes pour ouvrir le fichier Sceregvl.inf dans le dossier %Windir%\Inf.

  2. Ajoutez les lignes suivantes à la section [Inscrire les valeurs de Registre] :

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Ajoutez les lignes suivantes à la section [Chaînes] :

    AppCustomSD="Eventlog : Security descriptor for Application event log »
    SecCustomSD="Eventlog : Security descriptor for Security event log »
    SysCustomSD="Eventlog : Security descriptor for System event log »
    DSCustomSD="Eventlog : Security descriptor for Directory Service event log »
    DNSCustomSD="Eventlog : Security descriptor for DNS Server event log »
    FRSCustomSD="Eventlog : Security descriptor for File Replication Service event log »

  4. Enregistrez les modifications que vous avez apportées au fichier Sceregvl.inf, puis exécutez la regsvr32 scecli.dll commande .

  5. Démarrez Gpedit.msc, puis double-cliquez sur les branches suivantes pour les développer :

    Ordinateur configuration
    Paramètres Windows
    Paramètres de sécurité
    Stratégies locales
    Options de sécurité

  6. Affichez le panneau droit pour rechercher les nouveaux paramètres eventlog.

Utiliser la stratégie de groupe pour définir la sécurité de votre application et du journal système

  1. Dans le composant logiciel enfichable Sites et services Active Directory ou le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l’objet pour lequel vous souhaitez définir la stratégie, puis sélectionnez Propriétés.

  2. Sélectionnez l’onglet stratégie de groupe.

  3. Si vous devez créer une stratégie, sélectionnez Nouveau, puis définissez le nom de la stratégie. Sinon, passez à l’étape 5.

  4. Sélectionnez la stratégie souhaitée, puis sélectionnez Modifier.

    Le composant logiciel enfichable MMC local stratégie de groupe s’affiche.

  5. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis sélectionnez Options de sécurité.

  6. Double-cliquez sur Journal des événements : Journal des applications SDDL, tapez la chaîne SDDL souhaitée pour la sécurité du journal, puis sélectionnez OK.

  7. Double-cliquez sur Journal des événements : Journal système SDDL, tapez la chaîne SDDL souhaitée pour la sécurité du journal, puis sélectionnez OK.

References

Pour plus d’informations sur la syntaxe SDDL et sur la façon de construire une chaîne SDDL, consultez Security Descriptor String Format.