Настройка безопасности журнала событий локально или с помощью групповая политика
Вы можете настроить права доступа к их журналам событий в Windows Server 2012. Эти параметры можно настроить локально или с помощью групповая политика. В этой статье описывается использование обоих этих методов.
Область применения: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Исходный номер базы знаний: 323076
Сводка
Вы можете предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:
- Чтение
- Запись
- Очистка
Важно!
Таким же образом можно настроить журнал безопасности. Однако вы можете изменить только разрешения на чтение и очистку доступа. Доступ на запись к журналу безопасности зарезервирован только для локального центра безопасности Windows (LSA).
Для этой цели можно использовать политику административных шаблонов. Например, путь для системного журнала событий:
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Служба журнала событий\Система
Параметр настраивает доступ к журналам и принимает ту же строку языка определения дескриптора безопасности (SDDL).
Корпорация Майкрософт предлагает перейти к этому методу, как только вы Windows Server 2012.
Локальная настройка безопасности журнала событий
Важно!
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Безопасность каждого журнала настраивается локально с помощью значений в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
реестра .
Например, дескриптор безопасности журнала приложений настраивается с помощью следующего значения реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
Дескриптор безопасности системного журнала настраивается с помощью HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
.
Дескриптор безопасности для каждого журнала задается с помощью синтаксиса SDDL. Дополнительные сведения о синтаксисе SDDL см. в пакете SDK для платформы или в статье, упомянутой в разделе Ссылки этой статьи.
Чтобы создать строку SDDL, обратите внимание, что к журналам событий относятся три отдельных права: Read, Write и Clear. Эти права соответствуют следующим битам в поле прав доступа строки ACE:
- 1 = чтение
- 2 = запись
- 4 = очистить
Ниже приведен пример SDDL, в который отображается строка SDDL по умолчанию для журнала приложений. Права доступа (в шестнадцатеричном формате) выделены полужирным шрифтом для иллюстрации:
O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)
Например, первый ACE запрещает анонимным пользователям чтение, запись и очистку доступа к журналу. Шестой ACE позволяет интерактивным пользователям читать и записывать данные в журнал.
Измените локальную политику, чтобы разрешить настройку безопасности журналов событий
Создайте резервную копию файла %WinDir%\Inf\Sceregvl.inf в известном расположении.
Откройте %WinDir%\Inf\Sceregvl.inf в Блокноте.
Прокрутите страницу до середины файла и поместите указатель непосредственно перед [Строками].
Вставьте следующие строки:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2Прокрутите файл до конца и вставьте следующие строки:
AppLogSD="Журнал событий: укажите безопасность журнала приложений в синтаксисе языка определения дескриптора безопасности (SDDL)"
SysLogSD="Журнал событий: укажите безопасность системного журнала в синтаксисе языка определения дескриптора безопасности (SDDL)"Сохраните и закройте файл.
Нажмите кнопку Пуск, выберите Выполнить, введите regsvr32 scecli.dll в поле Открыть и нажмите клавишу ВВОД.
В диалоговом окне DllRegisterServer in scecli.dll успешно выполнено нажмите кнопку ОК.
Использование локальной групповой политики компьютера для настройки безопасности приложений и системных журналов
- Нажмите кнопку Пуск, выберите Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.
- В редакторе групповая политика разверните узел Параметры Windows, Параметры безопасности, Локальные политики и Параметры безопасности.
- Дважды щелкните Журнал событий: SDDL журнала приложений, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.
- Дважды щелкните Журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.
Использование групповой политики для настройки безопасности журналов приложений и систем для домена, сайта или подразделения в Active Directory
Важно!
Чтобы просмотреть параметры групповой политики, описанные в этой статье, в редакторе групповая политика, сначала выполните следующие действия, а затем перейдите к разделу Использование групповой политики для настройки безопасности приложения и системного журнала:
Используйте текстовый редактор, например Блокнот, чтобы открыть файл Sceregvl.inf в папке %Windir%\Inf.
Добавьте следующие строки в раздел [Регистрация значений реестра]:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2Добавьте следующие строки в раздел [Строки]:
AppCustomSD="Eventlog: дескриптор безопасности для журнала событий приложений"
SecCustomSD="Eventlog: дескриптор безопасности для журнала событий безопасности"
SysCustomSD="Журнал событий: дескриптор безопасности для системного журнала событий"
DSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы каталогов"
DNSCustomSD="Eventlog: дескриптор безопасности для журнала событий DNS-сервера"
FRSCustomSD="Eventlog: дескриптор безопасности для журнала событий службы репликации файлов"Сохраните изменения, внесенные в файл Sceregvl.inf, а затем выполните
regsvr32 scecli.dll
команду .Запустите Gpedit.msc, а затем дважды щелкните следующие ветви, чтобы развернуть их:
Конфигурация компьютера
Параметры Windows
Параметры безопасности
Локальные политики
Параметры безопасностиПросмотрите правую панель, чтобы найти новые параметры журнала событий.
Использование групповой политики для настройки безопасности приложений и системных журналов
В оснастке "Сайты и службы Active Directory" или оснастке "Пользователи и компьютеры Active Directory" щелкните правой кнопкой мыши объект, для которого требуется задать политику, и выберите пункт Свойства.
Перейдите на вкладку групповая политика.
Если необходимо создать новую политику, выберите Создать, а затем определите имя политики. В противном случае перейдите к выполнению действия 5.
Выберите нужную политику и нажмите кнопку Изменить.
Откроется оснастка Локальное групповая политика MMC.
Разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем выберите Параметры безопасности.
Дважды щелкните Журнал событий: SDDL журнала приложений, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.
Дважды щелкните Журнал событий: SDDL системного журнала, введите строку SDDL, которую требуется для безопасности журнала, а затем нажмите кнопку ОК.
Ссылки
Дополнительные сведения о синтаксисе SDDL и создании строки SDDL см. в разделе Формат строки дескриптора безопасности.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по