Sicherheit der Ereignisprotokollierung

Das Sicherheitsprotokoll ist für die Verwendung durch das System konzipiert. Benutzer können das Sicherheitsprotokoll jedoch lesen und löschen, wenn ihnen die berechtigung SE SECURITY NAME (das Benutzerrecht "Überwachung und Sicherheitsprotokoll _ _ verwalten") erteilt wurde. Weitere Informationen finden Sie unter Berechtigungen.

Nur die lokale Sicherheitsstelle (local security authority, Lsass.exe) verfügt über schreibberechtigung für das Sicherheitsprotokoll. Dieses Privileg kann von keinem anderen Konto anfordern werden. Um ein Ereignis in das Sicherheitsprotokoll zu schreiben, verwenden Sie die FunktionHzReportSecurityEvent.

Der Zugriff auf das Anwendungsprotokoll, das Systemprotokoll und benutzerdefinierte Protokolle ist eingeschränkt. Das System gewährt Zugriff basierend auf den Zugriffsrechten, die dem Konto gewährt werden, unter dem der Thread ausgeführt wird. Die folgende Tabelle zeigt, welche Zugriffstypen für die Ereignisprotokollierungsfunktionen erforderlich sind.

Zugriffsrecht Beschreibung
ELF _ LOGFILE _ CLEAR (0x0004) Erforderlich für ClearEventLog.
ELF _ LOGFILE _ READ (0x0001) Erforderlich für OpenBackupEventLog und OpenEventLog.
ELF _ LOGFILE _ WRITE (0x0002) Erforderlich für RegisterEventSource.

Verwenden Sie den Registrierungswert CustomSD, um die Sicherheit des Anwendungsprotokolls, des Systemprotokolls und der benutzerdefinierten Protokolle zu konfigurieren. Weitere Informationen finden Sie unter Eventlog Key.

Windows XP/2000: In der folgenden Tabelle werden die Zugriffsrechte beschrieben, die für jedes Konto in jedem Protokoll gewährt werden.

Protokoll wird erstellt Konto Lesen Schreiben Clear
Anwendung Administratoren (System) X X X
Administratoren (Domäne) X X X
LocalSystem X X X
Interaktiver Benutzer X X
System Administratoren (System) X X X
Administratoren (Domäne) X X
LocalSystem X X X
Interaktiver Benutzer X
Benutzerdefiniert Administratoren (System) X X X
Administratoren (Domäne) X X X
LocalSystem X X X
Interaktiver Benutzer X X

Um den Mitgliedern des Gastkontos Zugriff zu gewähren, ändern Sie den folgenden Registrierungswert:

HKEY _ LOCAL _ MACHINE \ SYSTEM \ CurrentControlSet \ Services \ EventLog \ Log \ RestrictGuestAccess