В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Настройка безопасности журнала событий локально или при помощи групповой политики в Windows Server 2003

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows

Содержание

Аннотация
В Windows Server 2003 администраторы могут настраивать права доступа к журналам событий. Эти настройки могут быть осуществлены локально или при помощи групповой политики. В данной статье описано использование обоих способов.

Можно предоставить пользователям одно или несколько из следующих прав доступа к журналам событий:
  • Чтение
  • Запись
  • Очистка
Внимание Таким же образом можно настроить журнал безопасности. При необходимости можно изменить только права доступа на чтение и очистку. Доступ на запись в журнал безопасности зарезервирован только за локальным администратором безопасности Windows (LSA).К началу статьи

Локальная настройка безопасности журнала событий

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок и к необходимости переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Безопасность каждого журнала настраивается локально посредством установки параметров следующего раздела реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
Например, дескриптор безопасности журнала приложений настраивается посредством установки следующих параметров реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
А дескриптор безопасности системного журнала настраивается посредством установки следующих параметров:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
Дескриптор безопасности для каждого журнала описывается при помощи синтаксиса SDDL (Security Descriptor Definition Language). Дополнительные сведения о синтаксисе SDDL см. в документации к Platform SDK или на веб-узле корпорации Майкрософт, указанном в разделе «Ссылки» данной статьи.

При создании строки SDDL помните, что имеется три права доступа, относящихся к журналам событий: Чтение, Запись и Очистка. Эти права соответствуют следующим битам в поле права доступа строки ACE:
  • 1= Чтение
  • 2 = Запись
  • 4 = Очистка
Следующая строка представляет собой строку SDDL по умолчанию для журнала приложений. Права доступа (в шестнадцатеричном формате) выделены полужирным шрифтом:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Например, первая запись ACE запрещает анонимным пользователям чтение, запись и очистку журнала. Шестая запись ACE предоставляет интерактивным пользователям права доступа к журналу на чтение и запись.

К началу статьи

Изменение локальной политики для предоставления доступа к настройкам безопасности журналов событий

  1. Создайте резервную копию файла %WinDir%\Inf\Sceregvl.inf.
  2. Откройте в «Блокноте» файл %WinDir%\Inf\Sceregvl.inf.
  3. Перейдите к середине файла и установите курсор непосредственно перед [Strings].
  4. Введите следующие строки:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. Перейдите в конец файла и введите следующие строки:
    AppLogSD="Журнал событий: Задайте безопасность журнала приложений, используя синтаксис языка SDDL (Security Descriptor Definition Language)"

    SysLogSD="Журнал событий: Задайте безопасность журнала приложений, используя синтаксис языка SDDL (Security Descriptor Definition Language)"
  6. Сохраните и закройте файл.
  7. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regsvr32 scecli.dll и нажмите клавишу ВВОД.
  8. В диалоговом окне DllRegisterServer в scecli.dll завершено успешно нажмите OK.
К началу статьи

Использование локальной групповой политики компьютера для настройки безопасности журнала приложений и системного журнала

  1. Выберите в меню Пуск пункт Выполнить, введите команду gpedit.msc и нажмите кнопку .
  2. В редакторе групповой политики последовательно разверните узлы Конфигурация Windows, Правила безопасности, Локальные политики, а затем выберите пункт Параметры безопасности.
  3. Дважды щелкните значок Журнал событий: Журнал приложений SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
  4. Дважды щелкните значок Журнал событий: Системный журнал SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
К началу статьи

Использование групповой политики для настройки безопасности журнала приложений и системного журнала для домена, сайта или подразделения в Active Directory

Внимание: Для просмотра описанных в данной статье настроек групповой политики в редакторе групповой политики сначала выполните следующие действия, а затем перейдите к разделу «Использование групповой политики для настройки безопасности журнала приложений и системного журнала»:
  1. Откройте файл Sceregvl.inf в папке %Windir%\Inf с помощью текстового редактора (например, «Блокнота»).
  2. Введите следующие строки в раздел [Register Registry Values]:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. Введите следующие строки в раздел [Strings]:
    AppCustomSD="Журнал событий: Дескриптор безопасности для журнала событий приложений"
    SecCustomSD="Журнал событий: Дескриптор безопасности для журнала событий безопасности"
    SysCustomSD="Журнал событий: Дескриптор безопасности для журнала событий системы"
    DSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий службы каталогов"
    DNSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий сервера DNS"
    FRSCustomSD="Журнал событий: Дескриптор безопасности для журнала событий службы репликации файлов"
  4. Сохраните изменения, сделанные в файле Sceregvl.inf, затем выполните команду regsvr32 scecli.dll.
  5. Запустите Gpedit.msc и последовательно разверните следующие узлы:
    Конфигурация компьютера
    Конфигурация Windows
    Правила безопасности
    Локальные политики
    Параметры безопасности
  6. Найдите на правой панели новые настройки «Eventlog».

Использование групповой политики для настройки безопасности журнала приложений и системного журнала

  1. В оснастке «Active Directory – сайты и службы» или в оснастке «Пользователи и компьютеры Active Directory» щелкните правой кнопкой мыши объект, для которого вы хотите настроить политику, и выберите Свойства.
  2. Перейдите на вкладку Групповая политика.
  3. При необходимости создания новой политики нажмите Создать и введите имя для политики. В противном случае перейдите к выполнению действия 5.
  4. Выберите нужную политику и нажмите кнопку Правка.

    Появляется оснастка «Локальная групповая политика ММС».
  5. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Правила безопасности и Локальные политики, а затем выберите пункт Параметры безопасности.
  6. Дважды щелкните значок Журнал событий: Журнал приложений SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
  7. Дважды щелкните значок Журнал событий: Системный журнал SDDL, введите требуемую для безопасности журнала строку SDDL, после чего нажмите OK.
К началу статьи

Ссылки
Дополнительные сведения о синтаксисе SDDL и способах создания строки SDDL см. на следующем веб-узле корпорации Майкрософт:
Формат строки дескриптора безопасности
http://msdn.microsoft.com/library/en-us/security/security/security_descriptor_string_format.asp
К началу статьи
kbmgmtsvc
Свойства

Номер статьи: 323076 — последний просмотр: 03/10/2006 15:25:00 — редакция: 7.1

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition

  • kbhowtomaster kbmgmtservices KB323076
Отзывы и предложения