Come impostare la sicurezza del log eventi in locale o usando Criteri di gruppo

  • Articolo

È possibile personalizzare i diritti di accesso di sicurezza ai log eventi in Windows Server 2012. Queste impostazioni possono essere configurate in locale o tramite Criteri di gruppo. Questo articolo descrive come usare entrambi questi metodi.

Si applica a: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Numero KB originale: 323076

Riepilogo

È possibile concedere agli utenti uno o più dei diritti di accesso seguenti ai log eventi:

  • Lettura
  • Scrittura
  • Chiaro

Importante

È possibile configurare il log di sicurezza nello stesso modo. Tuttavia, è possibile modificare solo le autorizzazioni di accesso Lettura e Cancella. L'accesso in scrittura al log di sicurezza è riservato solo all'autorità di sicurezza locale (LSA) di Windows.

A tale scopo, è possibile usare un criterio modello amministrativo. Il percorso per il registro eventi di sistema, ad esempio, è:

Configurazione computer\Modelli amministrativi\Componenti di Windows\Servizio registro eventi\Sistema

L'impostazione è configurare l'accesso ai log e accetta la stessa stringa SDDL (Security Descriptor Definition Language).

Microsoft suggerisce di passare a questo metodo una volta che si è in Windows Server 2012.

Configurare la sicurezza del log eventi in locale

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.

La sicurezza di ogni log viene configurata in locale tramite i valori nella chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogdel Registro di sistema .

Ad esempio, il descrittore di sicurezza del log dell'applicazione viene configurato tramite il valore del Registro di sistema seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

E il descrittore di sicurezza del log di sistema viene configurato tramite HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

Il descrittore di sicurezza per ogni log viene specificato tramite la sintassi SDDL. Per altre informazioni sulla sintassi SDDL, vedere Platform SDK oppure vedere l'articolo menzionato nella sezione Riferimenti di questo articolo.

Per costruire una stringa SDDL, si noti che esistono tre diritti distinti relativi ai log eventi: Lettura, Scrittura e Cancella. Questi diritti corrispondono ai bit seguenti nel campo dei diritti di accesso della stringa ACE:

  • 1= Lettura
  • 2 = Scrittura
  • 4 = Cancella

Di seguito è riportato un esempio di SDDL che mostra la stringa SDDL predefinita per il log applicazioni. I diritti di accesso (in formato esadecimale) sono in grassetto per l'illustrazione:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Ad esempio, la prima ace nega agli utenti anonimi l'accesso al log in lettura, scrittura e cancellazione. La sesta ace consente agli utenti interattivi di leggere e scrivere nel log.

Modificare i criteri locali per consentire la personalizzazione della sicurezza dei log eventi

  1. Eseguire il backup del file %WinDir%\Inf\Sceregvl.inf in un percorso noto.

  2. Aprire %WinDir%\Inf\Sceregvl.inf nel Blocco note.

  3. Scorrere fino al centro del file e quindi posizionare il puntatore immediatamente prima di [Strings].

  4. Inserire le righe seguenti:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Scorrere fino alla fine del file e quindi inserire le righe seguenti:

    AppLogSD="Registro eventi: specificare la sicurezza del log applicazioni nella sintassi SDDL (Security Descriptor Definition Language) "
    SysLogSD="Registro eventi: specificare la sicurezza del log di sistema nella sintassi SDDL (Security Descriptor Definition Language) "

  6. Salvare e chiudere il file.

  7. Selezionare Start, selezionare Esegui, digitare regsvr32 scecli.dll nella casella Apri e quindi premere INVIO.

  8. Nella finestra di dialogo DllRegisterServer in scecli.dll riuscita selezionare OK.

Usare i criteri di gruppo locali del computer per impostare la sicurezza dell'applicazione e del log di sistema

  1. Selezionare Start, selezionare Esegui, digitare gpedit.msc e quindi selezionare OK.
  2. Nell'editor Criteri di gruppo espandere Impostazioni di Windows, Impostazioni di sicurezza, Criteri locali e quindi Opzioni di sicurezza.
  3. Fare doppio clic su Registro eventi: SDDL del log applicazioni, digitare la stringa SDDL desiderata per la sicurezza del log e quindi selezionare OK.
  4. Fare doppio clic su Registro eventi: SDDL del log di sistema, digitare la stringa SDDL desiderata per la sicurezza del log e quindi selezionare OK.

Usare Criteri di gruppo per impostare la sicurezza del log dell'applicazione e del sistema per un dominio, un sito o un'unità organizzativa in Active Directory

Importante

Per visualizzare le impostazioni di Criteri di gruppo descritte in questo articolo nell'editor Criteri di gruppo, completare prima di tutto i passaggi seguenti e quindi continuare con la sezione Usare Criteri di gruppo per impostare la sicurezza dei log dell'applicazione e del sistema:

  1. Usare un editor di testo, ad esempio blocco note, per aprire sceregvl.inf nella cartella %Windir%\Inf.

  2. Aggiungere le righe seguenti alla sezione [Registra valori del Registro di sistema]:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Aggiungere le righe seguenti alla sezione [Strings]:

    AppCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi dell'applicazione"
    SecCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi di sicurezza"
    SysCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi di sistema"
    DSCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi del servizio directory"
    DNSCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi del server DNS"
    FRSCustomSD="Eventlog: Descrittore di sicurezza per il registro eventi del servizio replica file"

  4. Salvare le modifiche apportate al file Sceregvl.inf e quindi eseguire il regsvr32 scecli.dll comando .

  5. Avviare Gpedit.msc e quindi fare doppio clic sui rami seguenti per espanderli:

    Configurazione computer
    Impostazioni di Windows
    Impostazioni di sicurezza
    Criteri locali
    Opzioni di sicurezza

  6. Visualizzare il pannello destro per trovare le nuove impostazioni del registro eventi.

Usare Criteri di gruppo per impostare la sicurezza del log dell'applicazione e del sistema

  1. Nello snap-in Siti e servizi di Active Directory o nello snap-in Utenti e computer di Active Directory fare clic con il pulsante destro del mouse sull'oggetto per cui si desidera impostare il criterio e quindi selezionare Proprietà.

  2. Selezionare la scheda Criteri di gruppo.

  3. Se è necessario creare un nuovo criterio, selezionare Nuovo e quindi definire il nome del criterio. In caso contrario, procedere con il punto 5.

  4. Selezionare il criterio desiderato e quindi selezionare Modifica.

    Viene visualizzato lo snap-in MMC Local Criteri di gruppo.

  5. Espandere Configurazione computer, Impostazioni di Windows, Impostazioni di sicurezza, Criteri locali e quindi selezionare Opzioni di sicurezza.

  6. Fare doppio clic su Registro eventi: SDDL del log applicazioni, digitare la stringa SDDL desiderata per la sicurezza del log e quindi selezionare OK.

  7. Fare doppio clic su Registro eventi: SDDL del log di sistema, digitare la stringa SDDL desiderata per la sicurezza del log e quindi selezionare OK.

Riferimenti

Per altre informazioni sulla sintassi SDDL e su come costruire una stringa SDDL, vedere Formato stringa del descrittore di sicurezza.