Festlegen der Ereignisprotokollsicherheit lokal oder mithilfe von Gruppenrichtlinie

Sie können die Zugriffsrechte für die Sicherheit auf ihre Ereignisprotokolle in Windows Server 2012 anpassen. Diese Einstellungen können lokal oder über Gruppenrichtlinie konfiguriert werden. In diesem Artikel wird beschrieben, wie Sie beide Methoden verwenden.

Gilt für: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Ursprüngliche KB-Nummer: 323076

Zusammenfassung

Sie können Benutzern eines oder mehrere der folgenden Zugriffsrechte für Ereignisprotokolle gewähren:

  • Lesen
  • Schreiben
  • Deaktivieren

Wichtig

Sie können das Sicherheitsprotokoll auf die gleiche Weise konfigurieren. Sie können jedoch nur die Zugriffsberechtigungen Lesen und Löschen ändern. Schreibzugriff auf das Sicherheitsprotokoll ist nur für die lokale Windows-Sicherheitsautorität (LSA) reserviert.

Zu diesem Zweck können Sie eine Administrative Vorlagenrichtlinie verwenden. Der Pfad für das Systemereignisprotokoll lautet beispielsweise:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Ereignisprotokolldienst\System

Die Einstellung ist das Konfigurieren des Protokollzugriffs und verwendet dieselbe SDDL-Zeichenfolge (Security Descriptor Definition Language).

Microsoft schlägt vor, zu dieser Methode zu wechseln, sobald Sie Windows Server 2012.

Lokales Konfigurieren der Ereignisprotokollsicherheit

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Die Sicherheit jedes Protokolls wird lokal über die Werte im Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogkonfiguriert.

Beispielsweise wird der Anwendungsprotokoll-Sicherheitsdeskriptor über den folgenden Registrierungswert konfiguriert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Und der Sicherheitsdeskriptor des Systemprotokolls wird über HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSDkonfiguriert.

Der Sicherheitsdeskriptor für jedes Protokoll wird mithilfe der SDDL-Syntax angegeben. Weitere Informationen zur SDDL-Syntax finden Sie im Platform SDK oder im Artikel, der im Abschnitt Verweise dieses Artikels erwähnt wird.

Beachten Sie zum Erstellen einer SDDL-Zeichenfolge, dass es drei unterschiedliche Rechte für Ereignisprotokolle gibt: Lesen, Schreiben und Löschen. Diese Rechte entsprechen den folgenden Bits im Feld "Zugriffsrechte" der ACE-Zeichenfolge:

  • 1= Lesen
  • 2 = Schreiben
  • 4 = Löschen

Im Folgenden sehen Sie ein SDDL-Beispiel, das die STANDARD-SDDL-Zeichenfolge für das Anwendungsprotokoll zeigt. Die Zugriffsrechte (hexadezimal) sind zur Veranschaulichung fett formatiert:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Beispielsweise verweigert der erste ACE anonymen Benutzern lese-, schreib- und unzulänsige Zugriff auf das Protokoll. Die sechste ACE ermöglicht interaktiven Benutzern das Lesen und Schreiben in das Protokoll.

Ändern Ihrer lokalen Richtlinie, um die Anpassung der Sicherheit Ihrer Ereignisprotokolle zu ermöglichen

  1. Sichern Sie die Datei %WinDir%\Inf\Sceregvl.inf an einem bekannten Speicherort.

  2. Öffnen Sie %WinDir%\Inf\Sceregvl.inf im Editor.

  3. Scrollen Sie zur Mitte der Datei, und setzen Sie den Mauszeiger unmittelbar vor [Zeichenfolgen].

  4. Fügen Sie die folgenden Zeilen ein:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Scrollen Sie zum Ende der Datei, und fügen Sie dann die folgenden Zeilen ein:

    AppLogSD="Ereignisprotokoll: Geben Sie die Sicherheit des Anwendungsprotokolls in der SDDL-Syntax (Security Descriptor Definition Language) an"
    SysLogSD="Ereignisprotokoll: Geben Sie die Sicherheit des Systemprotokolls in der SDDL-Syntax (Security Descriptor Definition Language) an"

  6. Speichern und schließen Sie die Datei.

  7. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regsvr32 scecli.dll in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

  8. Wählen Sie im Dialogfeld DllRegisterServer in scecli.dll erfolgreichdie Option OK aus.

Verwenden der lokalen Gruppenrichtlinie des Computers zum Festlegen der Anwendungs- und Systemprotokollsicherheit

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie gpedit.msc ein, und wählen Sie dann OK aus.
  2. Erweitern Sie im Gruppenrichtlinie-Editor Windows-Einstellung, Sicherheitseinstellungen, Lokale Richtlinien und dann Sicherheitsoptionen.
  3. Doppelklicken Sie auf Ereignisprotokoll: Anwendungsprotokoll-SDDL, geben Sie die GEWÜNSCHTE SDDL-Zeichenfolge für die Protokollsicherheit ein, und wählen Sie dann OK aus.
  4. Doppelklicken Sie auf Ereignisprotokoll: Systemprotokoll-SDDL, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokollsicherheit ein, und wählen Sie dann OK aus.

Verwenden einer Gruppenrichtlinie zum Festlegen der Anwendungs- und Systemprotokollsicherheit für eine Domäne, einen Standort oder eine Organisationseinheit in Active Directory

Wichtig

Um die in diesem Artikel beschriebenen Gruppenrichtlinieneinstellungen im Gruppenrichtlinie-Editor anzuzeigen, führen Sie zunächst die folgenden Schritte aus, und fahren Sie dann mit dem Abschnitt Verwenden der Gruppenrichtlinie zum Festlegen der Sicherheit Ihrer Anwendung und des Systemprotokolls fort:

  1. Verwenden Sie einen Text-Editor wie Editor, um die Datei Sceregvl.inf im Ordner %Windir%\Inf zu öffnen.

  2. Fügen Sie dem Abschnitt [Registrierungswerte registrieren] die folgenden Zeilen hinzu:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Fügen Sie dem Abschnitt [Zeichenfolgen] die folgenden Zeilen hinzu:

    AppCustomSD="Eventlog: Sicherheitsbeschreibung für Anwendungsereignisprotokoll"
    SecCustomSD="Eventlog: Sicherheitsbeschreibung für Das Sicherheitsereignisprotokoll"
    SysCustomSD="Eventlog: Sicherheitsdeskriptor für das Systemereignisprotokoll"
    DSCustomSD="Eventlog: Sicherheitsdeskriptor für das Verzeichnisdienstereignisprotokoll"
    DNSCustomSD="Eventlog: Sicherheitsdeskriptor für DAS DNS-Serverereignisprotokoll"
    FRSCustomSD="Eventlog: Sicherheitsdeskriptor für das Ereignisprotokoll des Dateireplikationsdiensts"

  4. Speichern Sie die Änderungen, die Sie an der Datei Sceregvl.inf vorgenommen haben, und führen Sie dann den regsvr32 scecli.dll Befehl aus.

  5. Starten Sie Gpedit.msc, und doppelklicken Sie dann auf die folgenden Branches, um sie zu erweitern:

    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen

  6. Zeigen Sie den rechten Bereich an, um die neuen Ereignisprotokolleinstellungen zu finden.

Verwenden von Gruppenrichtlinien zum Festlegen der Anwendungs- und Systemprotokollsicherheit

  1. Klicken Sie im Snap-In Active Directory-Standorte und -Dienste oder im Snap-In Active Directory-Benutzer und -Computer mit der rechten Maustaste auf das Objekt, für das Sie die Richtlinie festlegen möchten, und wählen Sie dann Eigenschaften aus.

  2. Wählen Sie die Registerkarte Gruppenrichtlinie aus.

  3. Wenn Sie eine neue Richtlinie erstellen müssen, wählen Sie Neu aus, und definieren Sie dann den Namen der Richtlinie. Fahren Sie andernfalls mit Schritt 5 fort.

  4. Wählen Sie die gewünschte Richtlinie und dann Bearbeiten aus.

    Das MMC-Snap-In Local Gruppenrichtlinie wird angezeigt.

  5. Erweitern Sie Computerkonfiguration, windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, und wählen Sie dann Sicherheitsoptionen aus.

  6. Doppelklicken Sie auf Ereignisprotokoll: Anwendungsprotokoll-SDDL, geben Sie die GEWÜNSCHTE SDDL-Zeichenfolge für die Protokollsicherheit ein, und wählen Sie dann OK aus.

  7. Doppelklicken Sie auf Ereignisprotokoll: Systemprotokoll-SDDL, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokollsicherheit ein, und wählen Sie dann OK aus.

References

Weitere Informationen zur SDDL-Syntax und zum Erstellen einer SDDL-Zeichenfolge finden Sie unter Security Descriptor String Format.