Настройка безопасности журнала событий локально или с помощью групповая политика

  • Статья

Вы можете настроить права доступа к их журналам событий в Windows Server 2012. Эти параметры можно настроить локально или с помощью групповая политика. В этой статье описывается использование обоих этих методов.

Область применения: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер базы знаний: 323076

Сводка

Вы можете предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:

  • Чтение
  • Запись
  • Очистка

Важно!

Таким же образом можно настроить журнал безопасности. Однако вы можете изменить только разрешения на чтение и очистку доступа. Доступ на запись к журналу безопасности зарезервирован только для локального центра безопасности Windows (LSA).

Для этой цели можно использовать политику административных шаблонов. Например, путь для системного журнала событий:

Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Система

Параметр настраивает доступ к журналам и принимает ту же строку языка определения дескриптора безопасности (SDDL).

Корпорация Майкрософт предлагает перейти к этому методу, как только вы Windows Server 2012.

Локальная настройка безопасности журнала событий

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Безопасность каждого журнала настраивается локально с помощью значений в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogреестра .

Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

Дескриптор безопасности для каждого журнала задается с помощью синтаксиса SDDL. Дополнительные сведения о синтаксисе SDDL см. в пакете SDK для платформы или в статье, упомянутой в разделе Ссылки этой статьи.

Чтобы создать строку SDDL, обратите внимание, что к журналам событий относятся три отдельных права: Read, Write и Clear. Эти права соответствуют следующим битам в поле прав доступа строки ACE:

  • 1 = чтение
  • 2 = запись
  • 4 = очистить

Ниже приведен пример SDDL, в который отображается строка SDDL по умолчанию для журнала приложений. Права доступа (в шестнадцатеричном формате) выделены полужирным шрифтом для иллюстрации:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Например, первый ACE запрещает анонимным пользователям чтение, запись и очистку доступа к журналу. Шестой ACE позволяет интерактивным пользователям читать и записывать данные в журнал.

Измените локальную политику, чтобы разрешить настройку безопасности журналов событий

  1. Создайте резервную копию файла %WinDir%\Inf\Sceregvl.inf в известном расположении.

  2. Откройте %WinDir%\Inf\Sceregvl.inf в Блокноте.

  3. Прокрутите страницу до середины файла и поместите указатель непосредственно перед [Строками].

  4. Вставьте следующие строки:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Прокрутите файл до конца и вставьте следующие строки:

    AppLogSD="Журнал событий: укажите безопасность журнала приложений в синтаксисе языка определения дескриптора безопасности (SDDL)"
    SysLogSD="Журнал событий: укажите безопасность системного журнала в синтаксисе языка определения дескриптора безопасности (SDDL)"

  6. Сохраните и закройте файл.

  7. Нажмите кнопку Пуск, выберите Выполнить, введите regsvr32 scecli.dll в поле Открыть и нажмите клавишу ВВОД.

  8. В диалоговом окне DllRegisterServer in scecli.dll успешно выполнено нажмите кнопку ОК.

Использование локальной групповой политики компьютера для настройки безопасности приложений и системных журналов

  1. Нажмите кнопку Пуск, выберите Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.
  2. В редакторе групповая политика разверните узел Параметры Windows, Параметры безопасности, Локальные политики и Параметры безопасности.
  3. Дважды щелкните Журнал событий: SDDL журнала приложений, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.
  4. Дважды щелкните Журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.

Использование групповой политики для настройки безопасности журналов приложений и систем для домена, сайта или подразделения в Active Directory

Важно!

Чтобы просмотреть параметры групповой политики, описанные в этой статье, в редакторе групповая политика, сначала выполните следующие действия, а затем перейдите к разделу Использование групповой политики для настройки безопасности приложения и системного журнала:

  1. Используйте текстовый редактор, например Блокнот, чтобы открыть файл Sceregvl.inf в папке %Windir%\Inf.

  2. Добавьте следующие строки в раздел [Регистрация значений реестра]:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Добавьте следующие строки в раздел [Строки]:

    AppCustomSD="Eventlog: дескриптор безопасности для журнала событий приложений"
    SecCustomSD="Eventlog: дескриптор безопасности для журнала событий безопасности"
    SysCustomSD="Журнал событий: дескриптор безопасности для системного журнала событий"
    DSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы каталогов"
    DNSCustomSD="Eventlog: дескриптор безопасности для журнала событий DNS-сервера"
    FRSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы репликации файлов"

  4. Сохраните изменения, внесенные в файл Sceregvl.inf, а затем выполните regsvr32 scecli.dll команду .

  5. Запустите Gpedit.msc, а затем дважды щелкните следующие ветви, чтобы развернуть их:

    Конфигурация компьютера
    Параметры Windows
    Параметры безопасности
    Локальные политики
    Параметры безопасности

  6. Просмотрите правую панель, чтобы найти новые параметры журнала событий.

Использование групповой политики для настройки безопасности приложений и системных журналов

  1. В оснастке "Сайты и службы Active Directory" или оснастке "Пользователи и компьютеры Active Directory" щелкните правой кнопкой мыши объект, для которого требуется задать политику, и выберите пункт Свойства.

  2. Перейдите на вкладку групповая политика.

  3. Если необходимо создать новую политику, выберите Создать, а затем определите имя политики. В противном случае перейдите к выполнению действия 5.

  4. Выберите нужную политику и нажмите кнопку Изменить.

    Откроется оснастка Локальное групповая политика MMC.

  5. Разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем выберите Параметры безопасности.

  6. Дважды щелкните Журнал событий: SDDL журнала приложений, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.

  7. Дважды щелкните Журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.

Ссылки

Дополнительные сведения о синтаксисе SDDL и создании строки SDDL см. в разделе Формат строки дескриптора безопасности.