Jak ustawić zabezpieczenia dziennika zdarzeń lokalnie lub przy użyciu zasady grupy

Prawa dostępu do zabezpieczeń można dostosować do dzienników zdarzeń w Windows Server 2012. Te ustawienia można skonfigurować lokalnie lub za pośrednictwem zasady grupy. W tym artykule opisano sposób używania obu tych metod.

Dotyczy: Windows Server 2012 Standard, Windows Server 2012 Datacenter
Oryginalny numer KB: 323076

Podsumowanie

Możesz przyznać użytkownikom co najmniej jedno z następujących praw dostępu do dzienników zdarzeń:

• Odczyt
• Zapis
• Wyczyść

W tym celu można użyć zasad szablonu administracyjnego. Na przykład ścieżka dziennika zdarzeń systemowych to:

Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Usługa dziennika zdarzeń\System

To ustawienie służy do konfigurowania dostępu do dziennika i przyjmuje ten sam ciąg języka SDDL (Security Descriptor Definition Language).

Firma Microsoft sugeruje przejście do tej metody po Windows Server 2012.

Lokalne konfigurowanie zabezpieczeń dziennika zdarzeń

Zabezpieczenia każdego dziennika są konfigurowane lokalnie za pomocą wartości w kluczu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogrejestru .

Na przykład deskryptor zabezpieczeń dziennika aplikacji jest konfigurowany za pomocą następującej wartości rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Deskryptor zabezpieczeń dziennika systemu jest konfigurowany za pomocą HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSDprogramu .

Deskryptor zabezpieczeń dla każdego dziennika jest określany przy użyciu składni SDDL. Aby uzyskać więcej informacji na temat składni SDDL, zobacz Zestaw SDK platformy lub zobacz artykuł wymieniony w sekcji Dokumentacja tego artykułu.

Aby utworzyć ciąg SDDL, należy pamiętać, że istnieją trzy odrębne prawa odnoszące się do dzienników zdarzeń: Odczyt, Zapis i Wyczyść. Te prawa odpowiadają następującym bitom w polu praw dostępu ciągu ACE:

• 1 = Odczyt
• 2 = Zapis
• 4 = Wyczyść

Poniżej przedstawiono przykładową bibliotekę SDDL, która pokazuje domyślny ciąg SDDL dla dziennika aplikacji. Prawa dostępu (szesnastkowe) są pogrubione, aby uzyskać ilustrację:

O:BAG:SYD:(D;; 0xf0007 ;;; AN)(D;; 0xf0007 ;;; BG)(A;; 0xf0007 ;;; SY)(A;; 0x5 ;;; BA)(A;; 0x7 ;;; SO)(A;; 0x3 ;;; IU)(A;; 0x2 ;;; BA)(A;; 0x2 ;;; LS)(A;; 0x2 ;;; NS)

Na przykład pierwsza usługa ACE nie zezwala anonimowym użytkownikom na odczyt, zapis i wyczyszczanie dostępu do dziennika. Szósta usługa ACE umożliwia użytkownikom interaktywnym odczytywanie i zapisywanie w dzienniku.

Modyfikowanie zasad lokalnych w celu umożliwienia dostosowania zabezpieczeń dzienników zdarzeń

1. Utwórz kopię zapasową pliku %WinDir%\Inf\Sceregvl.inf w znanej lokalizacji.

2. Otwórz plik %WinDir%\Inf\Sceregvl.inf w Notatniku.

3. Przewiń do środka pliku, a następnie umieść wskaźnik bezpośrednio przed ciągami [Strings].

4. Wstaw następujące wiersze:

   MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

5. Przewiń na koniec pliku, a następnie wstaw następujące wiersze:

   AppLogSD="Dziennik zdarzeń: określ zabezpieczenia dziennika aplikacji w składni Języka definicji deskryptora zabezpieczeń (SDDL) "
   SysLogSD="Dziennik zdarzeń: określ zabezpieczenia dziennika systemu w składni Języka definicji deskryptora zabezpieczeń (SDDL) "

6. Zapisz, a następnie zamknij plik.

7. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz regsvr32 scecli.dll w polu Otwórz , a następnie naciśnij klawisz ENTER.

8. W oknie dialogowym DllRegisterServer w scecli.dll powodzenie wybierz przycisk OK.

Użyj lokalnych zasad grupy komputera, aby ustawić zabezpieczenia aplikacji i dziennika systemu

1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz gpedit.msc, a następnie wybierz przycisk OK.
2. W edytorze zasady grupy rozwiń węzeł Ustawienie systemu Windows, rozwiń węzeł Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie rozwiń pozycję Opcje zabezpieczeń.
3. Kliknij dwukrotnie dziennik zdarzeń: dziennik aplikacji SDDL, wpisz ciąg SDDL, który ma być przeznaczony dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.
4. Kliknij dwukrotnie dziennik zdarzeń: dziennik systemowy SDDL, wpisz ciąg SDDL, który ma być przeznaczony dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.

Używanie zasad grupy do ustawiania zabezpieczeń aplikacji i dzienników systemowych dla domeny, lokacji lub jednostki organizacyjnej w usłudze Active Directory

1. Użyj edytora tekstów, takiego jak Notatnik, aby otworzyć plik Sceregvl.inf w folderze %Windir%\Inf.

2. Dodaj następujące wiersze do sekcji [Rejestrowanie wartości rejestru]:

   MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
   MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

3. Dodaj następujące wiersze do sekcji [Ciągi]:

   AppCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń aplikacji"
   SecCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń zabezpieczeń"
   SysCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń systemu"
   DSCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń usługi katalogowej"
   DNSCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń serwera DNS"
   FRSCustomSD="Eventlog: Deskryptor zabezpieczeń dla dziennika zdarzeń usługi replikacji plików"

4. Zapisz zmiany wprowadzone w pliku Sceregvl.inf, a następnie uruchom regsvr32 scecli.dll polecenie .

5. Uruchom plik gpedit.msc, a następnie kliknij dwukrotnie następujące gałęzie, aby je rozwinąć:

   Konfiguracja komputera
   Ustawienia systemu Windows
   Ustawienia zabezpieczeń
   Zasady lokalne
   Opcje zabezpieczeń

6. Wyświetl prawy panel, aby znaleźć nowe ustawienia dziennika zdarzeń.

Ustawianie zabezpieczeń aplikacji i dzienników systemowych przy użyciu zasad grupy

1. W przystawce Lokacje i usługi Active Directory lub przystawki Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy obiekt, dla którego chcesz ustawić zasady, a następnie wybierz pozycję Właściwości.

2. Wybierz kartę zasady grupy.

3. Jeśli musisz utworzyć nowe zasady, wybierz pozycję Nowy, a następnie zdefiniuj nazwę zasad. Jeśli nie, przejdź do kroku 5.

4. Wybierz odpowiednie zasady, a następnie wybierz pozycję Edytuj.

   Zostanie wyświetlona przystawka MMC Lokalna zasady grupy.

5. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, rozwiń pozycję Ustawienia zabezpieczeń, rozwiń węzeł Zasady lokalne, a następnie wybierz pozycję Opcje zabezpieczeń.

6. Kliknij dwukrotnie dziennik zdarzeń: dziennik aplikacji SDDL, wpisz ciąg SDDL, który ma być przeznaczony dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.

7. Kliknij dwukrotnie dziennik zdarzeń: dziennik systemowy SDDL, wpisz ciąg SDDL, który ma być przeznaczony dla zabezpieczeń dziennika, a następnie wybierz przycisk OK.

Informacje

Aby uzyskać więcej informacji na temat składni SDDL i sposobu konstruowania ciągu SDDL, zobacz Format ciągu deskryptora zabezpieczeń.