Beveiliging van gebeurtenislogboeken lokaal instellen of met behulp van groepsbeleid

  • Artikel

U kunt beveiligingstoegangsrechten aanpassen aan hun gebeurtenislogboeken in Windows Server 2012. Deze instellingen kunnen lokaal of via groepsbeleid worden geconfigureerd. In dit artikel wordt beschreven hoe u beide methoden gebruikt.

Van toepassing op: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Origineel KB-nummer: 323076

Samenvatting

U kunt gebruikers een of meer van de volgende toegangsrechten verlenen voor gebeurtenislogboeken:

  • Lezen
  • Schrijven
  • Duidelijk

Belangrijk

U kunt het beveiligingslogboek op dezelfde manier configureren. U kunt echter alleen de toegangsmachtigingen Lezen en Wissen wijzigen. Schrijftoegang tot het beveiligingslogboek is alleen gereserveerd voor de Lokale Beveiligingsautoriteit (LSA) van Windows.

U kunt hiervoor een beheersjabloonbeleid gebruiken. Het pad voor het systeemlogboek is bijvoorbeeld:

Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Gebeurtenislogboekservice\Systeem

Met de instelling wordt logboektoegang geconfigureerd en wordt dezelfde SDDL-tekenreeks (Security Descriptor Definition Language) gebruikt.

Microsoft stelt voor om over te stappen op deze methode zodra u op Windows Server 2012 bent.

Beveiliging van gebeurtenislogboeken lokaal configureren

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Raadpleeg Een back-up maken van en het herstellen van het register in Windows voor meer informatie over het maken van een back-up en het herstellen van het register.

De beveiliging van elk logboek wordt lokaal geconfigureerd via de waarden in de registersleutel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog.

De toepassingslogboekbeveiligingsdescriptor wordt bijvoorbeeld geconfigureerd via de volgende registerwaarde: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

En de security descriptor van het systeemlogboek wordt geconfigureerd via HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD.

De security descriptor voor elk logboek wordt opgegeven met behulp van SDDL-syntaxis. Zie de Platform SDK voor meer informatie over de SDDL-syntaxis of zie het artikel dat wordt vermeld in de sectie Verwijzingen van dit artikel.

Als u een SDDL-tekenreeks wilt maken, moet u er rekening mee houden dat er drie afzonderlijke rechten zijn die betrekking hebben op gebeurtenislogboeken: Lezen, Schrijven en Wissen. Deze rechten komen overeen met de volgende bits in het veld toegangsrechten van de ACE-tekenreeks:

  • 1= Lezen
  • 2 = Schrijven
  • 4 = Wissen

Hier volgt een SDDL-voorbeeld met de standaard-SDDL-tekenreeks voor het toepassingslogboek. De toegangsrechten (in hexadecimaal) zijn vetgedrukt ter illustratie:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

De eerste ACE weigert bijvoorbeeld anonieme gebruikers lezen, schrijven en de toegang tot het logboek wissen. Met de zesde ACE kunnen interactieve gebruikers het logboek lezen en schrijven.

Uw lokale beleid wijzigen om aanpassing van de beveiliging van uw gebeurtenislogboeken mogelijk te maken

  1. Maak een back-up van het bestand %WinDir%\Inf\Sceregvl.inf op een bekende locatie.

  2. Open %WinDir%\Inf\Sceregvl.inf in Kladblok.

  3. Schuif naar het midden van het bestand en plaats de aanwijzer direct vóór [Tekenreeksen].

  4. Voeg de volgende regels in:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. Schuif naar het einde van het bestand en voeg de volgende regels in:

    AppLogSD="Gebeurtenislogboek: geef de beveiliging van het toepassingslogboek op in SDDL-syntaxis (Security Descriptor Definition Language)
    SysLogSD="Gebeurtenislogboek: geef de beveiliging van het systeemlogboek in SDDL-syntaxis (Security Descriptor Definition Language) op"

  6. Sla het bestand op en sluit het vervolgens.

  7. Selecteer Start, selecteer Uitvoeren, typ regsvr32 scecli.dll in het vak Openen en druk op Enter.

  8. Selecteerok in het dialoogvenster DllRegisterServer in scecli.dll geslaagd.

Gebruik het lokale groepsbeleid van de computer om de beveiliging van uw toepassing en systeemlogboek in te stellen

  1. Selecteer Start, selecteer Uitvoeren, typ gpedit.msc en selecteer vervolgens OK.
  2. Vouw in de groepsbeleid-editor Windows-instelling uit, vouw Beveiligingsinstellingen, Lokaal beleid uit en vouw vervolgens Beveiligingsopties uit.
  3. Dubbelklik op Gebeurtenislogboek: Toepassingslogboek SDDL, typ de SDDL-tekenreeks die u wilt gebruiken voor de logboekbeveiliging en selecteer OK.
  4. Dubbelklik op Gebeurtenislogboek: Systeemlogboek SDDL, typ de SDDL-tekenreeks die u wilt gebruiken voor de logboekbeveiliging en selecteer OK.

Groepsbeleid gebruiken om de beveiliging van uw toepassings- en systeemlogboek in te stellen voor een domein, site of organisatie-eenheid in Active Directory

Belangrijk

Als u de groepsbeleidsinstellingen wilt weergeven die in dit artikel in de groepsbeleid-editor worden beschreven, voert u eerst de volgende stappen uit en gaat u vervolgens verder met de sectie Groepsbeleid gebruiken om de beveiliging van uw toepassings- en systeemlogboek in te stellen:

  1. Gebruik een teksteditor zoals Kladblok om de Sceregvl.inf te openen in de map %Windir%\Inf.

  2. Voeg de volgende regels toe aan de sectie [Registerwaarden registreren]:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. Voeg de volgende regels toe aan de sectie [Tekenreeksen]:

    AppCustomSD="Eventlog: Security descriptor for Application Event Log"
    SecCustomSD="Eventlog: Security descriptor for Security event log"
    SysCustomSD="Eventlog: Security descriptor for System event log"
    DSCustomSD="Eventlog: Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog: Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog: Security descriptor for File Replication Service event log"

  4. Sla de wijzigingen op die u hebt aangebracht in het bestand Sceregvl.inf en voer de regsvr32 scecli.dll opdracht uit.

  5. Start Gpedit.msc en dubbelklik op de volgende vertakkingen om ze uit te vouwen:

    Computerconfiguratie
    Windows-instellingen
    Beveiligingsinstellingen
    Lokaal beleid
    Beveiligingsopties

  6. Bekijk het rechterdeelvenster om de nieuwe Eventlog-instellingen te vinden.

Groepsbeleid gebruiken om de beveiliging van uw toepassings- en systeemlogboek in te stellen

  1. Klik in de module Active Directory Sites and Services of de module Active Directory: gebruikers en computers met de rechtermuisknop op het object waarvoor u het beleid wilt instellen en selecteer vervolgens Eigenschappen.

  2. Selecteer het tabblad groepsbeleid.

  3. Als u een nieuw beleid moet maken, selecteert u Nieuw en definieert u vervolgens de naam van het beleid. Ga anders naar stap 5.

  4. Selecteer het gewenste beleid en selecteer vervolgens Bewerken.

    De MMC-module Lokaal groepsbeleid wordt weergegeven.

  5. Vouw Computerconfiguratie uit, vouw Windows-instellingen uit, vouw Beveiligingsinstellingen uit, vouw Lokaal beleid uit en selecteer vervolgens Beveiligingsopties.

  6. Dubbelklik op Gebeurtenislogboek: Toepassingslogboek SDDL, typ de SDDL-tekenreeks die u wilt gebruiken voor de logboekbeveiliging en selecteer OK.

  7. Dubbelklik op Gebeurtenislogboek: Systeemlogboek SDDL, typ de SDDL-tekenreeks die u wilt gebruiken voor de logboekbeveiliging en selecteer OK.

Verwijzingen

Zie Beveiligingsdescriptortekenreeksindeling voor meer informatie over de SDDL-syntaxis en over het samenstellen van een SDDL-tekenreeks.