你目前正处于脱机状态,正在等待 Internet 重新连接

如何在 Windows Server 2003 中本地设置或使用组策略设置事件日志安全性

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

概要
Windows Server 2003 允许管理员自定义他们的事件日志的安全访问权限。这些设置可以在本地配置,或者通过“组策略”配置。本文介绍如何使用这两种方法。

您可以为用户授予对事件日志的以下一种或多种访问权限:
  • 读取
  • 写入
  • 清除
返回页首

本地配置事件日志安全性

警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

可通过以下注册表项中的值本地配置每个日志的安全性:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
例如,可通过以下注册表值配置应用程序日志的安全描述符:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
并且可通过以下注册表值配置系统日志的安全描述符:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
可通过使用安全描述符定义语言 (SDDL) 语法来指定每个日志的安全描述符。有关 SDDL 语法的更多信息,请参阅 Platform SDK,或者访问本文“参考”一节提到的 Microsoft 网站。

要构造 SDDL 字符串,请注意与事件日志有关的三种不同权限:读取、写入和清除。这些权限对应 ACE 字符串的访问权限字段中的下列位:
  • 1= 读取
  • 2 = 写入
  • 4 = 清除
以下是一个示例 SDDL,显示了应用程序日志的默认 SDDL 字符串。为便于说明,访问权限(十六进制)用粗体表示:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
例如,第一个 ACE 拒绝匿名用户对日志进行读取、写入和清除访问。第六个 ACE 允许交互用户读取和写入日志。

可以采用同样的方法配置安全日志。但是,您只能更改“读取”和“清除”访问权限。对安全日志的“写入”访问权限仅保留给 Windows 本地安全机构 (LSA) 使用。

返回页首

修改本地策略以允许自定义事件日志安全性

  1. 将 %WinDir%\Inf\Sceregvl.inf 文件备份到一个已知位置。
  2. 在记事本中打开 %WinDir%\Inf\Sceregvl.inf。
  3. 滚动到文件的中间位置,然后将指针放在 [Strings] 前面。
  4. 插入以下行:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2

    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
  5. 滚动到文件底部,然后插入以下行:
    AppLogSD="Event log:Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"

    SysLogSD="Event log:Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
  6. 保存并关闭该文件。
  7. 单击“开始”,单击“运行”,在“打开”框中键入 regsvr32 scecli.dll,然后按 Enter 键。
  8. 在“scecli.dll 中的 DllRegisterServer 成功”对话框中,单击“确定”。
返回页首

使用计算机的本地组策略设置应用程序和系统日志安全性

  1. 单击“开始”,单击“运行”,键入 gpedit.msc,然后单击“确定”。
  2. 在“组策略”编辑器中,依次展开“Windows 设置”、“安全设置”、“本地策略”和“安全选项”。
  3. 双击“事件日志:应用程序日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
  4. 双击“事件日志:系统日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
返回页首

使用组策略为 Active Directory 中的域、站点或组织单位设置应用程序和系统日志安全性

重要说明:要在“组策略”编辑器中查看本文描述的组策略设置,首先请完成下列步骤,然后继续到“使用‘组策略’设置应用程序和系统日志安全性”一节:
  1. 使用文本编辑器(如记事本)打开 %Windir%\Inf 文件夹中的 Sceregvl.inf。
  2. 将以下行添加到 [Register Registry Values] 节中:
    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2
  3. 将以下行添加到 [Strings] 节中:
    AppCustomSD="Eventlog:Security descriptor for Application event log"
    SecCustomSD="Eventlog:Security descriptor for Security event log"
    SysCustomSD="Eventlog:Security descriptor for System event log"
    DSCustomSD="Eventlog:Security descriptor for Directory Service event log"
    DNSCustomSD="Eventlog:Security descriptor for DNS Server event log"
    FRSCustomSD="Eventlog:Security descriptor for File Replication Service event log"
  4. 保存对 Sceregvl.inf 文件所做的更改,然后运行 regsvr32 scecli.dll 命令。
  5. 启动 Gpedit.msc,然后双击下列分支将其展开:
    计算机配置
    Windows 设置
    安全设置
    本地策略
    安全选项
  6. 查看右侧面板以查找新的“Eventlog”设置。

使用“组策略”设置应用程序和系统日志安全性

  1. 在“Active Directory 站点和服务”管理单元或“Active Directory 用户和计算机”管理单元中,右键单击要为其设置策略的对象,然后单击“属性”。
  2. 单击“组策略”选项卡。
  3. 如果必须创建新策略,请单击“新建”,然后指定策略的名称。否则,请转到第 5 步。
  4. 选择所需策略,然后单击“编辑”。

    将出现“本地组策略 MMC”管理单元。
  5. 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
  6. 双击“事件日志:应用程序日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
  7. 双击“事件日志:系统日志 SDDL”,键入要用于日志安全性的 SDDL 字符串,然后单击“确定”。
返回页首

参考
有关 SDDL 语法以及如何构造 SDDL 字符串的更多信息,请访问下面的 Microsoft 网站: 返回页首
kbmgmtsvc
属性

文章 ID:323076 - 上次审阅时间:09/19/2006 08:28:00 - 修订版本: 7.1

Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003, Standard Edition

  • kbhowto kbhowtomaster kbmgmtservices KB323076
反馈