Olay günlüğü güvenliğini yerel olarak veya grup ilkesi kullanarak ayarlama

  • Makale

Güvenlik erişim haklarını Windows Server 2012 olay günlüklerine göre özelleştirebilirsiniz. Bu ayarlar yerel olarak veya grup ilkesi aracılığıyla yapılandırılabilir. Bu makalede, bu yöntemlerin her ikisinin de nasıl kullanılacağı açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Özgün KB numarası: 323076

Özet

Kullanıcılara olay günlüklerine aşağıdaki erişim haklarından birini veya daha fazlasını vekleyebilirsiniz:

  • Okuma
  • Yazma
  • Temizleyin

Önemli

Güvenlik günlüğünü de aynı şekilde yapılandırabilirsiniz. Ancak, yalnızca Okuma ve Temizleme erişim izinlerini değiştirebilirsiniz. Güvenlik günlüğüne yazma erişimi yalnızca Windows Yerel Güvenlik Yetkilisi (LSA) için ayrılmıştır.

Bu amaçla bir Yönetim Şablonu İlkesi kullanabilirsiniz. Örneğin, Sistem Olay Günlüğü'ne yönelik yol:

Bilgisayar Yapılandırması\Yönetim Şablonları\Windows Bileşenleri\Olay Günlüğü Hizmeti\Sistem

Ayar günlük erişimini yapılandırır ve aynı Güvenlik Tanımlayıcısı Tanım Dili (SDDL) dizesini alır.

Microsoft, Windows Server 2012 bir kez bu yönteme geçmeyi önerir.

Olay günlüğü güvenliğini yerel olarak yapılandırma

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Windows'ta kayıt defterini yedekleme ve geri yükleme.

Her günlüğün güvenliği, kayıt defteri anahtarındaki HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogdeğerler aracılığıyla yerel olarak yapılandırılır.

Örneğin, Uygulama günlüğü Güvenlik Tanımlayıcısı aşağıdaki kayıt defteri değeriyle yapılandırılır: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Sistem günlüğü Güvenlik Tanımlayıcısı aracılığıyla HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSDyapılandırılır.

Her günlük için Güvenlik Tanımlayıcısı SDDL söz dizimi kullanılarak belirtilir. SDDL söz dizimi hakkında daha fazla bilgi için Platform SDK'sı'na bakın veya bu makalenin Başvurular bölümünde belirtilen makaleye bakın.

SDDL dizesi oluşturmak için olay günlükleri ile ilgili üç ayrı hak olduğuna dikkat edin: Okuma, Yazma ve Temizleme. Bu haklar, ACE dizesinin erişim hakları alanındaki aşağıdaki bitlere karşılık gelir:

  • 1= Okuma
  • 2 = Yazma
  • 4 = Temizle

Aşağıda, Uygulama günlüğü için varsayılan SDDL dizesini gösteren örnek bir SDDL verilmiştir. Erişim hakları (onaltılık) çizim için kalın yüzle gösterilir:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Örneğin, ilk ACE Anonim Kullanıcıların günlükte okuma, yazma ve temizleme erişimini reddeder. Altıncı ACE, Etkileşimli Kullanıcıların günlüğe okumasına ve yazmasına izin verir.

Olay günlüklerinizin güvenliğini özelleştirmeye izin vermek için yerel ilkenizi değiştirin

  1. %WinDir%\Inf\Sceregvl.inf dosyasını bilinen bir konuma yedekleyin.

  2. Not Defteri'nde %WinDir%\Inf\Sceregvl.inf dosyasını açın.

  3. Dosyanın ortasına kaydırın ve işaretçiyi [Dizeler] öğesinin hemen önüne yerleştirin.

  4. Aşağıdaki satırları ekleyin:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Dosyanın sonuna kaydırın ve aşağıdaki satırları ekleyin:

    AppLogSD="Olay günlüğü: Güvenlik Tanımlayıcısı Tanım Dili (SDDL) söz diziminde uygulama günlüğünün güvenliğini belirtin"
    SysLogSD="Olay günlüğü: Güvenlik Tanımlayıcısı Tanım Dili (SDDL) söz diziminde Sistem günlüğünün güvenliğini belirtin"

  6. Dosyayı kaydedin ve kapatın.

  7. Başlat'ı seçin, Çalıştır'ı seçin, kutusuna regsvr32 scecli.dll yazın ve ENTER tuşuna basın.

  8. Başarılı scecli.dll DllRegisterServer iletişim kutusunda Tamam'ı seçin.

Uygulamanızı ve sistem günlüğü güvenliğinizi ayarlamak için bilgisayarın yerel grup ilkesini kullanın

  1. Başlat'ı seçin, Çalıştır'ı seçin, gpedit.msc yazın ve tamam'ı seçin.
  2. grup ilkesi düzenleyicisinde Windows Ayarı'nı genişletin, Güvenlik Ayarları'nı genişletin, Yerel İlkeler'i genişletin ve ardından Güvenlik Seçenekleri'ni genişletin.
  3. Olay günlüğü: Uygulama günlüğü SDDL'sine çift tıklayın, günlük güvenliği için istediğiniz SDDL dizesini yazın ve tamam'ı seçin.
  4. Olay günlüğü: Sistem günlüğü SDDL'sine çift tıklayın, günlük güvenliği için istediğiniz SDDL dizesini yazın ve tamam'ı seçin.

Active Directory'de bir etki alanı, site veya kuruluş birimi için uygulama ve sistem günlüğü güvenliğinizi ayarlamak için grup ilkesini kullanma

Önemli

grup ilkesi düzenleyicisinde bu makalede açıklanan grup ilkesi ayarlarını görüntülemek için önce aşağıdaki adımları tamamlayın ve ardından Uygulama ve sistem günlüğü güvenliğinizi ayarlamak için grup ilkesini kullanma bölümüne geçin:

  1. %Windir%\Inf klasöründe Sceregvl.inf dosyasını açmak için Not Defteri gibi bir metin düzenleyicisi kullanın.

  2. [Kayıt Defteri Değerlerini Kaydet] bölümüne aşağıdaki satırları ekleyin:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%secCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. [Strings] bölümüne aşağıdaki satırları ekleyin:

    AppCustomSD="Eventlog: Uygulama olay günlüğü için güvenlik tanımlayıcısı"
    SecCustomSD="Eventlog: Güvenlik olay günlüğü için güvenlik tanımlayıcısı"
    SysCustomSD="Eventlog: Sistem olay günlüğü için güvenlik tanımlayıcısı"
    DSCustomSD="Eventlog: Dizin Hizmeti olay günlüğü için güvenlik tanımlayıcısı"
    DNSCustomSD="Eventlog: DNS Sunucusu olay günlüğü için güvenlik tanımlayıcısı"
    FRSCustomSD="Eventlog: Dosya Çoğaltma Hizmeti olay günlüğü için güvenlik tanımlayıcısı"

  4. Sceregvl.inf dosyasında yaptığınız değişiklikleri kaydedin ve komutunu çalıştırın regsvr32 scecli.dll .

  5. Gpedit.msc dosyasını başlatın ve aşağıdaki dallara çift tıklayarak bunları genişletin:

    Bilgisayar Yapılandırması
    Windows Ayarları
    Güvenlik Ayarları
    Yerel İlkeler
    Güvenlik Seçenekleri

  6. Yeni Eventlog ayarlarını bulmak için sağ paneli görüntüleyin.

Uygulama ve sistem günlüğü güvenliğinizi ayarlamak için grup ilkesini kullanma

  1. Active Directory Siteleri ve Hizmetleri ek bileşeninde veya Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde, ilkeyi ayarlamak istediğiniz nesneye sağ tıklayın ve özellikler'i seçin.

  2. grup ilkesi sekmesini seçin.

  3. Yeni bir ilke oluşturmanız gerekiyorsa Yeni'yi seçin ve ilkenin adını tanımlayın. Aksi durumda, 5. adıma gidin.

  4. İstediğiniz ilkeyi seçin ve ardından Düzenle'yi seçin.

    Yerel grup ilkesi MMC ek bileşeni görüntülenir.

  5. Bilgisayar Yapılandırması'nı genişletin, Windows Ayarları'nı genişletin, Güvenlik Ayarları'nı genişletin, Yerel İlkeler'i genişletin ve ardından Güvenlik Seçenekleri'ni seçin.

  6. Olay günlüğü: Uygulama günlüğü SDDL'sine çift tıklayın, günlük güvenliği için istediğiniz SDDL dizesini yazın ve tamam'ı seçin.

  7. Olay günlüğü: Sistem günlüğü SDDL'sine çift tıklayın, günlük güvenliği için istediğiniz SDDL dizesini yazın ve tamam'ı seçin.

Başvurular

SDDL söz dizimi ve SDDL dizesi oluşturma hakkında daha fazla bilgi için bkz. Güvenlik Tanımlayıcısı Dize Biçimi.