如何在本機或使用 Windows Server 2003 中的群組原則設定事件記錄檔安全性

文章翻譯 文章翻譯
文章編號: 323076 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Windows Server 2003 允許系統管理員自訂事件記錄檔的安全性存取權限。這些設定值可以在本機上或透過「群組原則」加以設定。本文將告訴您,如何使用這兩種方法。

您可以授與使用者下列一或多種事件記錄檔的存取權限:
  • 讀取
  • 寫入
  • 清除
重要 您可以使用相同的方式設定安全性記錄檔。然而,您只能變更「讀取」和「清除」存取權限。安全性記錄檔的「寫入」權限只保留給 Windows「本機安全性授權」(Local Security Authority,LSA)。

在本機設定事件記錄檔安全性

警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。
每個記錄檔的安全性都是在本機上,透過下列登錄機碼中的值加以設定:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
例如,應用程式記錄檔的安全性描述元是透過下列登錄值設定:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
而系統記錄檔的安全性描述元則是透過下列值設定:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
每個記錄檔的安全性描述元是使用「安全性描述元定義語言」(Security Descriptor Definition Language,SDDL) 語法所指定。如需有關 SDDL 語法的詳細資訊,請參閱 Platform SDK,或造訪本文<參考>一節所提到的 Microsoft 網站。

如果要建構 SDDL 字串,請注意,共有三個與事件記錄檔有關的不同權限:讀取、寫入和清除。這些權限對應於 ACE 字串 [存取權限] 欄位中的位元:
  • 1= 讀取
  • 2 = 寫入
  • 4 = 清除
下面是範例 SDDL,說明應用程式記錄檔的預設 SDDL 字串。為方便說明,存取權限會以 (十六進位格式) 粗體顯示。
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
例如,第一個 ACE 拒絕匿名使用者讀取、寫入和清除記錄檔。第六個 ACE 允許互動式使用者讀取及寫入記錄檔。

修改本機原則,以允許自訂事件記錄檔安全性

  1. 將 %WinDir%\Inf\Sceregvl.inf 檔備份至已知位置。
  2. 使用記事本開啟 %WinDir%\Inf\Sceregvl.inf。
  3. 捲動至檔案中間,然後將指標放置在 [Strings] 之前。
  4. 插入下列各行:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. 捲動至檔案結尾,然後插入下列各行:
    AppLogSD="Event log:Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

    SysLogSD="Event log:Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
  6. 儲存並關閉檔案。
  7. 按一下 [開始],再按一下 [執行],在 [開啟] 方塊中輸入 regsvr32 scecli.dll,然後按下 ENTER。
  8. [DllRegisterServer 在 scecli.dll 成功] 對話方塊中,按一下 [確定]

使用電腦的本機群組原則,設定應用程式和系統記錄檔安全性

  1. 按一下 [開始],再按一下 [執行],輸入 gpedit.msc,然後按一下 [確定]
  2. 在 [群組原則] 編輯器中,依序展開 [Windows 設定][安全性設定][本機原則],然後展開 [安全性選項]
  3. 按兩下 [事件記錄檔:應用程式記錄檔 SDDL],輸入 SDDL 字串做為記錄檔安全性,然後按一下 [確定]
  4. 按兩下 [事件記錄檔:系統記錄檔 SDDL],輸入 SDDL 字串做為記錄檔安全性,然後按一下 [確定]

使用群組原則,為 Active Directory 中的網域、站台或組織單位設定應用程式和系統記錄檔安全性

重要:如果要在 [群組原則] 編輯器中檢視本文所描述的群組原則設定,請先完成下列步驟,然後繼續進行<使用群組原則,設定應用程式和系統記錄檔安全性>一節:
  1. 使用文字編輯器 (例如記事本),開啟 %Windir%\Inf 資料夾中的 Sceregvl.inf。
  2. 將下列各行新增至 [Register Registry Values] 區段:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. 將下列各行新增至 [Strings] 區段:
    AppCustomSD="Eventlog:Security descriptor for Application event log"
    SecCustomSD="Eventlog:Security descriptor for Security event log"
    SysCustomSD="Eventlog:Security descriptor for System event log"
    DSCustomSD="Eventlog:Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog:Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog:Security descriptor for File Replication Service event log"
  4. 將您所做的變更儲存至 Sceregvl.inf 檔,然後執行 regsvr32 scecli.dll 命令。
  5. 啟動 Gpedit.msc,然後按兩下下列子目錄加以展開:
    電腦設定
    Windows 設定
    安全性設定
    本機原則
    安全性選項
  6. 檢視右窗格,找出新的 "Eventlog" 設定。

使用群組原則,設定應用程式和系統記錄檔安全性

  1. 在 [Active Directory 站台及服務] 嵌入式管理單元或 [Active Directory 使用者及電腦] 嵌入式管理單元中,用滑鼠右鍵按一下您想要設定原則的物件,然後按一下 [內容]
  2. 按一下 [群組原則] 索引標籤。
  3. 如果您必須建立新原則,請按一下 [新增],然後定義原則的名稱。否則請跳到步驟 5。
  4. 選取您想要的原則,然後按一下 [編輯]

    隨即會顯示 [本機群組原則] MMC 嵌入式管理單元。
  5. 依序展開 [電腦設定][Windows 設定][安全性設定][本機原則],然後按一下 [安全性選項]
  6. 按兩下 [事件記錄檔:應用程式記錄檔 SDDL],輸入 SDDL 字串做為記錄檔安全性,然後按一下 [確定]
  7. 按兩下 [事件記錄檔:系統記錄檔 SDDL],輸入 SDDL 字串做為記錄檔安全性,然後按一下 [確定]


?考

如需有關 SDDL 語法以及如何建構 SDDL 字串的詳細資訊,請造訪下列 Microsoft 網站:
安全性描述元字串格式 (英文)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/security_descriptor_string_format.asp

屬性

文章編號: 323076 - 上次校閱: 2006年9月19日 - 版次: 8.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition
關鍵字:?
kbhowtomaster kbmgmtservices KB323076
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com