如何在 Windows Server 2003 中本地设置或使用组策略设置事件日志安全性

文章翻译 文章翻译
文章编号: 323076 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Windows Server 2003 允许管理员自定义他们的事件日志的安全访问权限。这些设置可以在本地配置,或者通过“组策略”配置。本文介绍如何使用这两种方法。

您可以为用户授予对事件日志的以下一种或多种访问权限:
  • 读取
  • 写入
  • 清除

本地配置事件日志安全性

警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

可通过以下注册表项中的值本地配置每个日志的安全性:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
例如,可通过以下注册表值配置应用程序日志的安全描述符:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
并且可通过以下注册表值配置系统日志的安全描述符:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
可通过使用安全描述符定义语言 (SDDL) 语法来指定每个日志的安全描述符。有关 SDDL 语法的更多信息,请参阅 Platform SDK,或者访问本文“参考”一节提到的 Microsoft 网站。

要构造 SDDL 字符串,请注意与事件日志有关的三种不同权限:读取、写入和清除。这些权限对应 ACE 字符串的访问权限字段中的下列位:
  • 1= 读取
  • 2 = 写入
  • 4 = 清除
以下是一个示例 SDDL,显示了应用程序日志的默认 SDDL 字符串。为便于说明,访问权限(十六进制)用粗体表示:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
例如,第一个 ACE 拒绝匿名用户对日志进行读取、写入和清除访问。第六个 ACE 允许交互用户读取和写入日志。

可以采用同样的方法配置安全日志。但是,您只能更改“读取”和“清除”访问权限。对安全日志的“写入”访问权限仅保留给 Windows 本地安全机构 (LSA) 使用。

修改本地策略以允许自定义事件日志安全性

  1. 将 %WinDir%\Inf\Sceregvl.inf 文件备份到一个已知位置。
  2. 在记事本中打开 %WinDir%\Inf\Sceregvl.inf。
  3. 滚动到文件的中间位置,然后将指针放在 [Strings] 前面。
  4. 插入以下行:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. 滚动到文件底部,然后插入以下行:
    AppLogSD="Event log:Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

    SysLogSD="Event log:Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
  6. 保存并关闭该文件。
  7. 单击“开始”,单击“运行”,在“打开”框中键入 regsvr32 scecli.dll,然后按 Enter 键。
  8. 在“scecli.dll 中的 DllRegisterServer 成功”对话框中,单击“确定”。

使用计算机的本地组策略设置应用程序和系统日志安全性

  1. 单击“开始”,单击“运行”,键入 gpedit.msc,然后单击“确定”。
  2. 在“组策略”编辑器中,依次展开“Windows 设置”、“安全设置”、“本地策略”和“安全选项”。
  3. 双击“事件日志:应用程序日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
  4. 双击“事件日志:系统日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。

使用组策略为 Active Directory 中的域、站点或组织单位设置应用程序和系统日志安全性

重要说明:要在“组策略”编辑器中查看本文描述的组策略设置,首先请完成下列步骤,然后继续到“使用‘组策略’设置应用程序和系统日志安全性”一节:
  1. 使用文本编辑器(如记事本)打开 %Windir%\Inf 文件夹中的 Sceregvl.inf。
  2. 将以下行添加到 [Register Registry Values] 节中:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. 将以下行添加到 [Strings] 节中:
    AppCustomSD="Eventlog:Security descriptor for Application event log"
    SecCustomSD="Eventlog:Security descriptor for Security event log"
    SysCustomSD="Eventlog:Security descriptor for System event log"
    DSCustomSD="Eventlog:Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog:Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog:Security descriptor for File Replication Service event log"
  4. 保存对 Sceregvl.inf 文件所做的更改,然后运行 regsvr32 scecli.dll 命令。
  5. 启动 Gpedit.msc,然后双击下列分支将其展开:
    计算机配置
    Windows 设置
    安全设置
    本地策略
    安全选项
  6. 查看右侧面板以查找新的“Eventlog”设置。

使用“组策略”设置应用程序和系统日志安全性

  1. 在“Active Directory 站点和服务”管理单元或“Active Directory 用户和计算机”管理单元中,右键单击要为其设置策略的对象,然后单击“属性”。
  2. 单击“组策略”选项卡。
  3. 如果必须创建新策略,请单击“新建”,然后指定策略的名称。否则,请转到第 5 步。
  4. 选择所需策略,然后单击“编辑”。

    将出现“本地组策略 MMC”管理单元。
  5. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
  6. 双击“事件日志:应用程序日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
  7. 双击“事件日志:系统日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。


参考

有关 SDDL 语法以及如何构造 SDDL 字符串的更多信息,请访问下面的 Microsoft 网站:
Security Descriptor String Format(安全描述符字符串格式)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/security_descriptor_string_format.asp

属性

文章编号: 323076 - 最后修改: 2006年9月19日 - 修订: 7.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Standard Edition
关键字:?
kbhowto kbhowtomaster kbmgmtservices KB323076
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com