Como definir a segurança do log de eventos localmente ou usando Política de Grupo

  • Artigo

Você pode personalizar os direitos de acesso à segurança para seus logs de eventos no Windows Server 2012. Essas configurações podem ser configuradas localmente ou por meio de Política de Grupo. Este artigo descreve como usar esses dois métodos.

Aplica-se a: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Número de KB original: 323076

Resumo

Você pode conceder aos usuários um ou mais dos seguintes direitos de acesso aos logs de eventos:

  • Ler
  • Gravar
  • Limpar

Importante

Você pode configurar o log de segurança da mesma maneira. No entanto, você só pode alterar permissões de acesso leitura e limpeza. O acesso de gravação ao log de segurança é reservado apenas para a LSA (Autoridade de Segurança Local do Windows).

Você pode usar uma Política de Modelo Administrativo para a finalidade. O caminho para o System Eventlog, por exemplo, é:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\Serviço de log de eventos\Sistema

A configuração é configurar o acesso ao log e usa a mesma cadeia de caracteres SDDL (Linguagem de Definição de Descritor de Segurança).

A Microsoft sugere migrar para esse método depois que você estiver no Windows Server 2012.

Configurar a segurança do log de eventos localmente

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

A segurança de cada log é configurada localmente por meio dos valores na chave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogdo registro .

Por exemplo, o Descritor de Segurança do log de aplicativo é configurado por meio do seguinte valor de registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

E o Descritor de Segurança de log do sistema é configurado por meio de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

O Descritor de Segurança para cada log é especificado usando a sintaxe SDDL. Para obter mais informações sobre a sintaxe SDDL, consulte o SDK da Plataforma ou consulte o artigo mencionado na seção Referências deste artigo.

Para construir uma cadeia de caracteres SDDL, observe que há três direitos distintos que pertencem aos logs de eventos: Leitura, Gravação e Limpar. Esses direitos correspondem aos seguintes bits no campo direitos de acesso da cadeia de caracteres ACE:

  • 1= Leitura
  • 2 = Gravação
  • 4 = Limpar

A seguir está um SDDL de exemplo que mostra a cadeia de caracteres SDDL padrão para o log de aplicativo. Os direitos de acesso (em hexadecimal) são ousados para ilustração:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Por exemplo, o primeiro ACE nega que usuários anônimos leiam, escrevam e desmarquem o acesso ao log. O sexto ACE permite que usuários interativos leiam e escrevam no log.

Modificar sua política local para permitir a personalização da segurança dos logs de eventos

  1. Faça backup do arquivo %WinDir%\Inf\Sceregvl.inf para um local conhecido.

  2. Abra %WinDir%\Inf\Sceregvl.inf no Bloco de Notas.

  3. Role até o meio do arquivo e, em seguida, coloque o ponteiro imediatamente antes de [Cadeias de caracteres].

  4. Insira as seguintes linhas:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogsD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Role até o final do arquivo e insira as seguintes linhas:

    AppLogSD="Log de eventos: especifique a segurança do log do aplicativo na sintaxe SDDL (Linguagem de Definição de Descritor de Segurança) "
    SysLogSD="Log de eventos: especifique a segurança da sintaxe SDDL (Linguagem de Definição do Descritor de Segurança) "

  6. Salve e feche o arquivo.

  7. Selecione Iniciar, selecione Executar, digite regsvr32 scecli.dll na caixa Abrir e pressione ENTER.

  8. Na caixa de diálogo DllRegisterServer em scecli.dll bem-sucedida , selecione OK.

Use a política de grupo local do computador para definir a segurança do log do aplicativo e do sistema

  1. Selecione Iniciar, selecione Executar, digite gpedit.msc e selecione OK.
  2. No editor Política de Grupo, expanda Configuração do Windows, expanda Configurações de Segurança, expanda Políticas Locais e expanda Opções de Segurança.
  3. Clique duas vezes no log de eventos: SDDL do log de aplicativo, digite a cadeia de caracteres SDDL desejada para a segurança do log e selecione OK.
  4. Clique duas vezes no log de eventos: SDDL do log do sistema, digite a cadeia de caracteres SDDL desejada para a segurança do log e selecione OK.

Use a política de grupo para definir a segurança do log do aplicativo e do sistema para uma unidade organizacional ou de domínio no Active Directory

Importante

Para exibir as configurações de política de grupo descritas neste artigo no editor de Política de Grupo, primeiro conclua as seguintes etapas e, em seguida, continue na política Usar grupo para definir sua seção de segurança de log do aplicativo e do sistema:

  1. Use um editor de texto como Bloco de Notas para abrir o Sceregvl.inf na pasta %Windir%\Inf.

  2. Adicione as seguintes linhas à seção [Registrar Valores do Registro]:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Adicione as seguintes linhas à seção [Cadeias de caracteres]:

    AppCustomSD="Eventlog: Descritor de segurança para log de eventos de aplicativo"
    SecCustomSD="Eventlog: Descritor de segurança para log de eventos de segurança"
    SysCustomSD="Eventlog: Descritor de segurança para log de eventos do sistema"
    DSCustomSD="Eventlog: Descritor de segurança para log de eventos do Serviço de Diretório"
    DNSCustomSD="Eventlog: Descritor de segurança para log de eventos do DNS Server"
    FRSCustomSD="Eventlog: Descritor de segurança para log de eventos do Serviço de Replicação de Arquivos"

  4. Salve as alterações feitas no arquivo Sceregvl.inf e execute o regsvr32 scecli.dll comando.

  5. Inicie Gpedit.msc e clique duas vezes nas seguintes ramificações para expandi-las:

    Configurações do Computador
    Configurações do Windows
    Configurações de segurança
    Políticas locais
    Opções de segurança

  6. Exiba o painel direito para localizar as novas configurações do Eventlog.

Usar a política de grupo para definir a segurança do log do aplicativo e do sistema

  1. No snap-in sites e serviços do Active Directory ou no snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse no objeto para o qual você deseja definir a política e selecione Propriedades.

  2. Selecione a guia Política de Grupo.

  3. Se você precisar criar uma nova política, selecione Novo e defina o nome da política. Caso contrário, vá para a etapa 5.

  4. Selecione a política desejada e selecione Editar.

    O snap-in do MMC de Política de Grupo local é exibido.

  5. Expanda Configuração do Computador, expanda Configurações do Windows, expanda Configurações de Segurança, expanda Políticas Locais e selecione Opções de Segurança.

  6. Clique duas vezes no log de eventos: SDDL do log de aplicativo, digite a cadeia de caracteres SDDL desejada para a segurança do log e selecione OK.

  7. Clique duas vezes no log de eventos: SDDL do log do sistema, digite a cadeia de caracteres SDDL desejada para a segurança do log e selecione OK.

Referências

Para obter mais informações sobre a sintaxe SDDL e sobre como construir uma cadeia de caracteres SDDL, consulte Formato de Cadeia de Caracteres do Descritor de Segurança.