Настройка безопасности журнала событий локально или при помощи групповой политики в Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 323076 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В Windows Server 2003 администраторы могут настраивать права доступа к журналам событий. Эти настройки могут быть осуществлены локально или при помощи групповой политики. В данной статье описано использование обоих способов.

Можно предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:
  • Чтение
  • Запись
  • Очистка
Внимание Таким же образом можно настроить журнал безопасности. При необходимости можно изменить только права доступа на чтение и очистку. Доступ на запись в журнал безопасности зарезервирован только за локальным администратором безопасности Windows (LSA).

Локальная настройка безопасности журнала событий

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок и к необходимости переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Безопасность каждого журнала настраивается локально посредством установки параметров следующего раздела реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Например, дескриптор безопасности журнала приложений настраивается посредством установки следующих параметров реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
А дескриптор безопасности системного журнала настраивается посредством установки следующих параметров:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
Дескриптор безопасности для каждого журнала описывается при помощи синтаксиса SDDL (Security Descriptor Definition Language). Дополнительные сведения о синтаксисе SDDL см. в документации к Platform SDK или на веб-узле корпорации Майкрософт, указанном в разделе «Ссылки» данной статьи.

При создании строки SDDL помните, что имеется три права доступа, относящихся к журналам событий: Чтение, Запись и Очистка. Эти права соответствуют следующим битам в поле права доступа строки ACE:
  • 1= Чтение
  • 2 = Запись
  • 4 = Очистка
Следующая строка представляет собой строку SDDL по умолчанию для журнала приложений. Права доступа (в шестнадцатеричном формате) выделены полужирным шрифтом:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Например, первая запись ACE запрещает анонимным пользователям чтение, запись и очистку журнала. Шестая запись ACE предоставляет интерактивным пользователям права доступа к журналу на чтение и запись.

Изменение локальной политики для предоставления доступа к настройкам безопасности журналов событий

  1. Создайте резервную копию файла %WinDir%\Inf\Sceregvl.inf.
  2. Откройте в «Блокноте» файл %WinDir%\Inf\Sceregvl.inf.
  3. Перейдите к середине файла и установите курсор непосредственно перед [Strings].
  4. Введите следующие строки:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. Перейдите в конец файла и введите следующие строки:
    AppLogSD="Журнал событий: Задайте безопасность журнала приложений, используя синтаксис языка SDDL (Security Descriptor Definition Language)"

    SysLogSD="Журнал событий: Задайте безопасность журнала приложений, используя синтаксис языка SDDL (Security Descriptor Definition Language)"
  6. Сохраните и закройте файл.
  7. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regsvr32 scecli.dll и нажмите клавишу ВВОД.
  8. В диалоговом окне DllRegisterServer в scecli.dll завершено успешно нажмите OK.

Использование локальной групповой политики компьютера для настройки безопасности журнала приложений и системного журнала

  1. Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. В редакторе групповой политики последовательно разверните узлы Конфигурация Windows, Правила безопасности, Локальные политики, а затем выберите пункт Параметры безопасности.
  3. Дважды щелкните значок Журнал событий: Журнал приложений SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
  4. Дважды щелкните значок Журнал событий: Системный журнал SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.

Использование групповой политики для настройки безопасности журнала приложений и системного журнала для домена, сайта или подразделения в Active Directory

Внимание: Для просмотра описанных в данной статье настроек групповой политики в редакторе групповой политики сначала выполните следующие действия, а затем перейдите к разделу «Использование групповой политики для настройки безопасности журнала приложений и системного журнала»:
  1. Откройте файл Sceregvl.inf в папке %Windir%\Inf с помощью текстового редактора (например, «Блокнота»).
  2. Введите следующие строки в раздел [Register Registry Values]:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. Введите следующие строки в раздел [Strings]:
    AppCustomSD="Журнал событий: Дескриптор безопасности для журнала событий приложений"
    SecCustomSD="Журнал событий: Дескриптор безопасности для журнала событий безопасности"
    SysCustomSD="Журнал событий: Дескриптор безопасности для журнала событий системы"
    DSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий службы каталогов"
    DNSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий сервера DNS"
    FRSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий службы репликации файлов"
  4. Сохраните изменения, сделанные в файле Sceregvl.inf, затем выполните команду regsvr32 scecli.dll.
  5. Запустите Gpedit.msc и последовательно разверните следующие узлы:
    Конфигурация компьютера
    Конфигурация Windows
    Правила безопасности
    Локальные политики
    Параметры безопасности
  6. Найдите на правой панели новые настройки «Eventlog».

Использование групповой политики для настройки безопасности журнала приложений и системного журнала

  1. В оснастке «Active Directory – сайты и службы» или в оснастке «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши объект, для которого вы хотите настроить политику, и выберите Свойства.
  2. Перейдите на вкладку Групповая политика.
  3. При необходимости создания новой политики нажмите Создать и введите имя для политики. В противном случае перейдите к выполнению действия 5.
  4. Выберите нужную политику и нажмите кнопку Правка.

    Появляется оснастка «Локальная групповая политика ММС».
  5. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Правила безопасности и Локальные политики, а затем выберите пункт Параметры безопасности.
  6. Дважды щелкните значок Журнал событий: Журнал приложений SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
  7. Дважды щелкните значок Журнал событий: Системный журнал SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.


Ссылки

Дополнительные сведения о синтаксисе SDDL и способах создания строки SDDL см. на следующем веб-узле корпорации Майкрософт:
Формат строки дескриптора безопасности
http://msdn.microsoft.com/library/en-us/security/security/security_descriptor_string_format.asp

Свойства

Код статьи: 323076 - Последний отзыв: 10 марта 2006 г. - Revision: 7.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition
Ключевые слова: 
kbhowtomaster kbmgmtservices KB323076

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com