Sicherheit des Ereignisprotokolls lokal oder mithilfe von Gruppenrichtlinien in Windows Server 2003 einrichten

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
323076 How to set event log security locally or by using Group Policy in Windows Server 2003
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung

Inhalt

Zusammenfassung
Windows Server 2003 ermöglicht es Administratoren, die Sicherheitszugriffsrechte auf ihre Ereignisprotokolle anzupassen. Diese Einstellungen können lokal oder über eine Gruppenrichtlinie konfiguriert werden. Dieser Artikel beschreibt die Verwendung sowohl der einen als auch der anderen Methode.

Sie können Benutzern eines oder mehrere der folgenden Zugriffsrechte auf Ereignisprotokolle einräumen:
  • Lesen
  • Schreiben
  • Löschen
Wichtig: Sie können das Sicherheitsprotokoll in gleicher Form konfigurieren. Sie können jedoch nur die Zugriffsrechte "Lesen" und "Löschen" ändern. Der Schreibzugriff auf das Sicherheitsprotokoll ist nur der lokalen Sicherheitsautorität (Local Security Authority, LSA) in Windows vorbehalten.Zurück zum Anfang

Die Sicherheit von Ereignisprotokollen lokal konfigurieren

Warnung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.
Die Sicherheit der einzelnen Protokolls wird lokal über die Werte im folgenden Registrierungsschlüssel konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Die Sicherheitsbeschreibung für das Anwendungsprotokoll wird beispielsweise über den folgenden Registrierungswert konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
Die Sicherheitsbeschreibung für das Systemprotokoll wird über den folgenden Wert konfiguriert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
Die Sicherheitsbeschreibung die einzelnen Protokolle wird mithilfe der Security Descriptor Definition Language (SDDL)-Syntax verfasst: Weitere Informationen zur SDDL-Syntax finden Sie auf dem Platform SDK oder auf der im Abschnitt "Informationsquellen" genannten Microsoft-Website.

Wenn Sie eine SDDL-Zeichenfolge erstellen möchten, beachten Sie, dass es drei verschiedene Berechtigungen gibt, die Ereignisprotokolle betreffen: Lesen, Schreiben und Löschen. Diese Berechtigungen beziehen sich auf die folgenden Bits im Feld Zugriffsrechte der ACE-Zeichenfolge:
  • 1= Lesen
  • 2 = Schreiben
  • 4 = Löschen
Die folgende Beispiel-SDDL zeigt die standardmäßige SDDL-Zeichenfolge für das Anwendungsprotokoll. Die Zugriffsrechte (im Hexadezimalformat) sind aus Gründen der Veranschaulichung fett formatiert:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Die erste ACE verweigert beispielsweise anonymen Benutzern Lese-, Schreib- und Löschzugriff auf das Protokoll. Die sechste ACE gewährt interaktiven Benutzern Lese- und Schreibzugriff auf das Protokoll.

Zurück zum Anfang

Modifizieren der lokalen Richtlinie, um die Anpassung der Sicherheit Ihrer Ereignisprotokolle zu ermöglichen

  1. Erstellen Sie eine Sicherungskopie der Datei "%WinDir%\Inf\Sceregvl.inf" an einem bekannten Speicherort.
  2. Öffnen Sie im Editor die Datei "%WinDir%\Inf\Sceregvl.inf".
  3. Blättern Sie zur Mitte der Datei, und stellen Sie den Zeiger direkt vor [Strings] (Zeichenfolgen).
  4. Fügen Sie die folgenden Zeilen ein:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. Blättern Sie weiter zum Ende der Datei, und fügen Sie danach die folgenden Zeilen ein:
    AppLogSD="Event log: Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

    SysLogSD="Event log: Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
  6. Speichern und schließen Sie die Datei.
  7. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regsvr32 scecli.dll in das Feld Öffnen ein, und drücken Sie die [EINGABETASTE].
  8. Klicken Sie im Dialogfeld DllRegisterServer in scecli.dll succeeded auf OK.
Zurück zum Anfang

Mithilfe der lokalen Gruppenrichtlinie des Computers die Sicherheit Ihrer Anwendungen und Ihrer Systemprotokolle einrichten

  1. Klicken Sie auf Start und auf Ausführen, geben Sie gpedit.msc in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
  2. Erweitern Sie im Gruppenrichtlinien-Editor Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  3. Doppelklicken Sie auf Event log: Application log SDDL (Ereignisprotokoll: Anwendungsprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
  4. Doppelklicken Sie auf Event log: System log SDDL (Ereignisprotokoll: Systemprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
Zurück zum Anfang

Mithilfe einer Gruppenrichtlinie in Active Directory die Sicherheit Ihrer Anwendungs- und Systemprotokolle für eine Domäne, eine Site oder eine Organisationseinheit einrichten

Wichtig: Wenn Sie die Einstellungen der Gruppenrichtlinie, die in diesem Artikel im Gruppenrichtlinien-Editor beschrieben werden, anzeigen möchten, führen Sie erst die folgenden Schritte durch, und fahren Sie anschließend mit dem Abschnitt "Mithilfe einer Gruppenrichtlinie die Sicherheit Ihrer Anwendungs- und Systemprotokolle einrichten" fort:
  1. Öffnen Sie die Datei "Sceregvl.inf" im Ordner "%Windir%\Inf" mithilfe eines Texteditors, beispielsweise Microsoft Editor.
  2. Fügen Sie die folgenden Zeilen zum Abschnitt [Register Registry Values] (Registrierungswerte registrieren) hinzu:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. Fügen Sie folgende Zeilen zum Abschnitt [Strings] (Zeichenfolgen) hinzu:
    AppCustomSD="Eventlog: Security descriptor for Application event log"
    SecCustomSD="Eventlog: Security descriptor for Security event log"
    SysCustomSD="Eventlog: Security descriptor for System event log"
    DSCustomSD="Eventlog: Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog: Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog: Security descriptor for File Replication Service event log"
  4. Speichern Sie die Änderungen, die Sie an der Datei "Sceregvl.inf" vorgenommen haben, und führen Sie anschließend den Befehl regsvr32 scecli.dll aus.
  5. Starten Sie "Gpedit.msc", und doppelklicken Sie danach auf folgende Zweige, um sie zu erweitern:
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen
  6. Im rechten Fensterbereich finden Sie die neuen "Eventlog"-Einstellungen, also die Einstellungen für das Ereignisprotokoll.

Mithilfe einer Gruppenrichtlinie die Sicherheit Ihrer Anwendungs- und Systemprotokolle einrichten

  1. Klicken Sie im Snap-In "Active Directory-Standorte und -Dienste" oder im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf das Objekt, für das Sie die Richtlinie einrichten möchten, und klicken Sie danach auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Gruppenrichtlinie.
  3. Wenn Sie eine neue Richtlinie erstellen müssen, klicken Sie auf Neu, und legen Sie anschließend den Namen der Richtlinie fest. Fahren Sie andernfalls mit Schritt 5 fort.
  4. Wählen Sie die gewünschte Richtlinie aus, und klicken Sie dann auf Bearbeiten.

    Das MMC-Snap-In für lokale Gruppenrichtlinien wird angezeigt.
  5. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und klicken Sie anschließend auf Sicherheitsoptionen.
  6. Doppelklicken Sie auf Event log: Application log SDDL (Ereignisprotokoll: Anwendungsprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
  7. Doppelklicken Sie auf Event log: System log SDDL (Ereignisprotokoll: Systemprotokoll-SDDL), geben Sie die für die Protokollsicherheit gewünschte SDDL-Zeichenfolge ein, und klicken Sie anschließend auf OK.
Zurück zum Anfang

Informationsquellen
Weitere Informationen zur SDDL-Syntax sowie dazu, wie Sie eine SDDL-Zeichenfolge aufbauen, finden Sie auf der folgenden Microsoft-Website: Zurück zum Anfang
kbmgmtsvc
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 323076 – Letzte Überarbeitung: 10/16/2006 14:40:39 – Revision: 8.3

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition

  • kbmgmtservices kbhowtomaster KB323076
Feedback