如何在本機或使用 群組原則
您可以在 Windows Server 2012 中自訂其事件記錄的安全性存取權限。 這些設定可以在本機或透過 群組原則 來設定。 本文說明如何使用這兩種方法。
適用於:Windows Server 2012 Standard、Windows Server 2012 Datacenter
原始 KB 編號: 323076
摘要
您可以將下列一或多個存取權限授與使用者事件記錄:
- 讀取
- 寫入
- Clear
重要事項
您可以用相同的方式設定安全性記錄。 不過,您只能變更讀取和清除訪問許可權。 安全性記錄的寫入存取權僅保留給 Windows 本地安全機構 (LSA) 。
您可以基於此目的使用系統管理範本原則。 例如,系統事件記錄檔的路徑為:
計算機設定\系統管理範本\Windows 元件\事件記錄服務\系統
此設定會 設定記錄 檔存取,並採用相同的安全描述符定義語言 (SDDL) 字串。
一旦您使用 Windows Server 2012,Microsoft 建議您移至這個方法。
在本機設定事件記錄安全性
重要事項
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄。
每個記錄的安全性都是透過登錄機碼 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog
中的值在本機設定。
例如,應用程式記錄安全描述符是透過下列登錄值來設定: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD
系統記錄安全描述符是透過 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD
設定。
每個記錄的安全描述符都是使用 SDDL 語法來指定。 For more information about SDDL syntax, see the Platform SDK, or see the article mentioned in the References section of this article.
若要建構 SDDL 字串,請注意事件記錄有三個不同的許可權:讀取、寫入和清除。 這些權限會對應至 ACE 字串之存取權限欄位中的下列位:
- 1= 讀取
- 2 = 寫入
- 4 = 清除
以下是範例 SDDL,其中顯示應用程式記錄檔的預設 SDDL 字串。 十六進位) 中的訪問許可權 (為粗體,以供說明:
O:BAG:SYD: (D;;0xf0007;;;AN) (D;;0xf0007;;;BG) (A;;0xf0007;;;SY) (A;;0x5 ;;;BA) (A;;0x7 ;;;SO) (A;;0x3 ;;;IU) (A;;0x2 ;;;BA) (A;;0x2 ;;;LS) (A;;0x2 ;;;NS)
例如,第一個 ACE 會拒絕匿名使用者讀取、寫入和清除記錄的存取權。 第六個 ACE 允許互動式使用者讀取和寫入記錄檔。
修改本機原則以允許自定義事件記錄檔的安全性
將 %WinDir%\Inf\Sceregvl.inf 檔案備份至已知位置。
在記事本中開啟 %WinDir%\Inf\Sceregvl.inf。
捲動至檔案中間,然後將指標放在 [Strings] 前面。
插入下列幾行:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2捲動至檔尾,然後插入下列幾行:
AppLogSD=“事件記錄檔:在安全描述符定義語言中指定應用程式記錄的安全性 (SDDL) 語法」
SysLogSD=“事件記錄檔:在安全描述符定義語言 (SDDL) 語法中指定系統記錄的安全性」儲存並關閉檔案。
選取 [開始],選取 [執行],在 [開啟] 方塊中輸入 regsvr32 scecli.dll,然後按 ENTER 鍵。
在 [成功 scecli.dll 的 [DllRegisterServer ] 對話框中,選取 [ 確定]。
使用電腦的本機組策略來設定應用程式和系統記錄安全性
- 選 取 [開始],選取 [ 執行],輸入 gpedit.msc,然後選取 [ 確定]。
- 在 群組原則 編輯器中,依序展開 [Windows 設定]、[安全性設定]、[本機原則] 及 [安全性選項]。
- 按兩下 [事件記錄檔:應用程式記錄檔 SDDL],輸入您要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
- 按兩下 [事件記錄檔:系統記錄 SDDL],輸入您要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
使用組策略來設定 Active Directory 中網域、網站或組織單位的應用程式和系統記錄安全性
重要事項
若要在 群組原則 編輯器中檢視本文中所述的組策略設定,請先完成下列步驟,然後繼續進行使用組策略來設定應用程式和系統記錄安全性一節:
使用 [記事本] 之類的文本編輯器,在 %Windir%\Inf 資料夾中開啟 Sceregvl.inf。
將下列幾行新增至 [註冊登錄值] 區段:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2將下列幾行新增至 [Strings] 區段:
AppCustomSD=“Eventlog: Application 事件記錄檔的安全描述符”
SecCustomSD=“Eventlog: Security 事件記錄檔的安全描述符”
SysCustomSD=“Eventlog: 系統事件記錄檔的安全描述符”
DSCustomSD=“Eventlog: Directory 服務事件記錄檔的安全描述符”
DNSCustomSD=“Eventlog: DNS 伺服器事件記錄檔的安全描述符”
FRSCustomSD=“Eventlog: 檔案復寫服務事件記錄檔的安全描述符”儲存您對 Sceregvl.inf 檔案所做的變更,然後執行
regsvr32 scecli.dll
命令。啟動 Gpedit.msc,然後按兩下列分支加以展開:
電腦設定
Windows 設定
安全性設定
本機原則
安全性選項檢視正確的面板以尋找新的 Eventlog 設定。
使用組策略來設定應用程式和系統記錄安全性
在 Active Directory 網站和服務嵌入式管理單元或 Active Directory 使用者和電腦 嵌入式管理單元中,以滑鼠右鍵按下您要設定原則的物件,然後選取 [屬性]。
選取 [群組原則] 索引標籤。
如果您必須建立新的原則,請選取 [ 新增],然後定義原則的名稱。 否則,請跳至步驟 5。
選取您想要的原則,然後選取 [ 編輯]。
[本機 群組原則 MMC 嵌入式管理單元隨即出現。
依序展開 [計算機設定]、 [Windows 設定]、[ 安全性設定]、[ 本機原則],然後選取 [ 安全性選項]。
按兩下 [事件記錄檔:應用程式記錄檔 SDDL],輸入您要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
按兩下 [事件記錄檔:系統記錄 SDDL],輸入您要用於記錄安全性的 SDDL 字串,然後選取 [ 確定]。
參考資料
如需 SDDL 語法以及如何建構 SDDL 字串串的詳細資訊,請參閱 安全描述符字串格式。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應