Vorgehensweise Festlegen der Ereignisprotokoll Sicherheit lokal oder mithilfe von Gruppenrichtlinien

Sie können Sicherheitszugriffs Rechte für Ihre Ereignisprotokolle in Windows Server 2012 anpassen. Diese Einstellungen können lokal oder über Gruppenrichtlinien konfiguriert werden. In diesem Artikel wird beschrieben, wie Sie beide Methoden verwenden.

Original Version des Produkts:   Windows Server 2012 Standard, Windows Server 2012 Rechenzentrum
Ursprüngliche KB-Nummer:   323076

Zusammenfassung

Sie können Benutzern eine oder mehrere der folgenden Zugriffsrechte für Ereignisprotokolle erteilen:

  • Lesen
  • Schreiben
  • Deaktivieren

Wichtig

Sie können das Sicherheitsprotokoll auf die gleiche Weise konfigurieren. Sie können jedoch nur Lese-und Lösch Zugriffsberechtigungen ändern. Schreibzugriff auf das Sicherheitsprotokoll ist nur für die lokale Sicherheitsautorität von Windows (LSA) reserviert.

Sie können eine administrative Vorlagenrichtlinie für den Zweck verwenden. Der Pfad für das System-EventLog lautet beispielsweise:

Computer Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Components\Event Log Service\System

Die Einstellung ist configure log Access , und es wird dieselbe SDDL-Zeichenfolge (Security Descriptor Definition Language) verwendet.

Microsoft schlägt vor, zu dieser Methode zu wechseln, sobald Sie sich auf Windows Server 2012 befinden.

Lokales Konfigurieren der Sicherheit von Ereignisprotokollen

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Die Sicherheit jedes Protokolls wird lokal über die Werte im Registrierungsschlüssel konfiguriert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog .

Beispielsweise wird die Sicherheitsbeschreibung für das Anwendungsprotokoll mit dem folgenden Registrierungswert konfiguriert: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Und die Sicherheitsbeschreibung des System Protokolls wird durch konfiguriert HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD .

Die Sicherheitsbeschreibung für jedes Protokoll wird mithilfe der SDDL-Syntax angegeben. Weitere Informationen zur SDDL-Syntax finden Sie im Platform SDK oder im Abschnitt References in diesem Artikel erwähnten Artikel.

Um eine SDDL-Zeichenfolge zu erstellen, beachten Sie, dass es drei verschiedene Rechte gibt, die sich auf Ereignisprotokolle beziehen: Read, Write und Clear. Diese Rechte entsprechen den folgenden Bits im Feld Zugriffsrechte der ACE-Zeichenfolge:

  • 1 = lesen
  • 2 = Schreiben
  • 4 = löschen

Es folgt ein Beispiel für SDDL, das die Standard-SDDL-Zeichenfolge für das Anwendungsprotokoll zeigt. Die Zugriffsrechte (im Hexadezimalformat) sind zur Veranschaulichung mit Fett konfrontiert:

O:Bag: Syd: (D;; 0xf0007 ;;; AN) (D;; 0xf0007;;; BG) (A;; 0xf0007;;; SY) (A;; 0x5;;; BA) (A;; 0x7;;; So) (A;; 0x3;;; I U) (A;; 0x2;;; BA) (A;; 0x2;;; LS) (A;; 0x2;;; NS

Beispielsweise verweigert der erste ACE anonymen Benutzern das Lesen, schreiben und Löschen des Zugriffs auf das Protokoll. Das sechste ACE ermöglicht interaktiven Benutzern das Lesen und Schreiben in das Protokoll.

Ändern Ihrer lokalen Richtlinie, um eine Anpassung der Sicherheit Ihrer Ereignisprotokolle zu ermöglichen

  1. Sichern Sie die%windir%\Inf\Sceregvl.inf-Datei an einem bekannten Speicherort.

  2. Öffnen Sie%windir%\Inf\Sceregvl.inf im Editor.

  3. Scrollen Sie in die Mitte der Datei, und platzieren Sie den Zeiger dann unmittelbar vor [Zeichenfolgen].

  4. Fügen Sie die folgenden Zeilen ein:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD, 1,% AppLogSD%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD, 1,% syslogsd%, 2

  5. Scrollen Sie zum Ende der Datei, und fügen Sie dann die folgenden Zeilen ein:

    AppLogSD = "Ereignisprotokoll: Geben Sie die Sicherheit des Anwendungsprotokolls in der SDDL-Syntax (Security Descriptor Definition Language) an"
    Syslogsd = "Ereignisprotokoll: Geben Sie die Sicherheit des System Protokolls in der SDDL-Syntax (Security Descriptor Definition Language) an"

  6. Speichern und schließen Sie die Datei.

  7. Wählen Sie Start, wählen Sie Ausführenaus, geben Sie regsvr32 scecli.dll in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

  8. Klicken Sie im Dialogfeld DllRegisterServer in scecli.dll erfolgreich auf OK.

Verwenden der lokalen Gruppenrichtlinie des Computers zum Festlegen der Anwendungs-und Systemprotokoll Sicherheit

  1. Wählen Sie Startaus, wählen Sie Ausführen, geben Sie gpedit. mscein, und wählen Sie dann OKaus.
  2. Erweitern Sie im Gruppenrichtlinien-Editor die Einstellung Windows, dann Sicherheitseinstellungenund lokale Richtlinien, und erweitern Sie dann Sicherheitsoptionen.
  3. Doppelklicken Sie auf Ereignisprotokoll: SDDL für Anwendungsprotokoll, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokoll Sicherheit ein, und wählen Sie dann OKaus.
  4. Doppelklicken Sie auf Ereignisprotokoll: System Protokoll-SDDL, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokoll Sicherheit ein, und wählen Sie dann OKaus.

Verwenden Sie Gruppenrichtlinien, um die Sicherheit der Anwendung und des Systemprotokolls für eine Domäne, einen Standort oder eine Organisationseinheit in Active Directory festzulegen.

Wichtig

Zum Anzeigen der in diesem Artikel beschriebenen Gruppenrichtlinieneinstellungen im Gruppenrichtlinien-Editor führen Sie zunächst die folgenden Schritte aus, und fahren Sie dann mit der Gruppenrichtlinie zum Festlegen des Sicherheitsbereichs "Anwendung und Systemprotokoll " fort:

  1. Verwenden Sie einen Text-Editor wie Editor, um die sceregvl. inf im Ordner%windir%\inf zu öffnen.

  2. Fügen Sie dem Abschnitt [Registrierungswerte Registrieren] die folgenden Zeilen hinzu:

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD, 1,% AppCustomSD%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD, 1,% SecCustomSD%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD, 1,% syscustomsd%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD, 1,% DSCustomSD%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD, 1,% DNSCustomSD%, 2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File-Replikations Service\CustomSD, 1,% FRSCustomSD%, 2

  3. Fügen Sie dem Abschnitt [Strings] die folgenden Zeilen hinzu:

    AppCustomSD = "EventLog: Sicherheitsbeschreibung für Anwendungsereignisprotokoll"
    SecCustomSD = "EventLog: Sicherheitsbeschreibung für Sicherheitsereignisprotokoll"
    Syscustomsd = "EventLog: Sicherheitsbeschreibung für System Ereignisprotokoll"
    DSCustomSD = "EventLog: Sicherheitsbeschreibung für Verzeichnisdienst-Ereignisprotokoll"
    DNSCustomSD = "EventLog: Sicherheitsbeschreibung für das DNS-Server Ereignisprotokoll"
    FRSCustomSD = "EventLog: Sicherheitsbeschreibung für das Ereignisprotokoll des Dateireplikationsdiensts"

  4. Speichern Sie die Änderungen, die Sie an der Datei sceregvl. inf vorgenommen haben, und führen Sie dann den regsvr32 scecli.dll Befehl aus.

  5. Starten Sie gpedit. msc, und doppelklicken Sie dann auf die folgenden Zweige, um Sie zu erweitern:

    Computer Konfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
    Sicherheitsoptionen

  6. Zeigen Sie den rechten Bereich an, um die neuen EventLog-Einstellungen zu finden.

Verwenden von Gruppenrichtlinien zum Festlegen der Anwendungs-und Systemprotokoll Sicherheit

  1. Klicken Sie im Active Directory-Snap-in für Websites und Dienste oder im Snap-in Active Directory Benutzer und Computer mit der rechten Maustaste auf das Objekt, für das Sie die Richtlinie festlegen möchten, und wählen Sie dann Eigenschaftenaus.

  2. Wählen Sie die Registerkarte Gruppenrichtlinie aus.

  3. Wenn Sie eine neue Richtlinie erstellen müssen, wählen Sie neuaus, und definieren Sie dann den Namen der Richtlinie. Fahren Sie andernfalls mit Schritt 5 fort.

  4. Wählen Sie die gewünschte Richtlinie aus, und klicken Sie dann auf Bearbeiten.

    Das MMC-Snap-in lokale Gruppenrichtlinie wird angezeigt.

  5. Erweitern Sie Computer Konfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und wählen Sie dann Sicherheitsoptionenaus.

  6. Doppelklicken Sie auf Ereignisprotokoll: SDDL für Anwendungsprotokoll, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokoll Sicherheit ein, und wählen Sie dann OKaus.

  7. Doppelklicken Sie auf Ereignisprotokoll: System Protokoll-SDDL, geben Sie die gewünschte SDDL-Zeichenfolge für die Protokoll Sicherheit ein, und wählen Sie dann OKaus.

Informationsquellen

Weitere Informationen zur SDDL-Syntax und zum Erstellen einer SDDL-Zeichenfolge finden Sie unter Security Descriptor String Format.