Ereignisprotokollierungssicherheit
Das Security-Protokoll wurde für die Verwendung durch das System entwickelt. Benutzer können jedoch das protokoll Security lesen und löschen, wenn ihnen die SE_SECURITY_NAME Berechtigung gewährt wurde (das Benutzerrecht "Überwachung und Sicherheitsprotokoll verwalten"). Weitere Informationen finden Sie unter Berechtigungen.
Nur die lokale Sicherheitsautorität (Lsass.exe) verfügt über Schreibberechtigungen für das Security-Protokoll. Kein anderes Konto kann diese Berechtigung anfordern. Um ein Ereignis in das Security-Protokoll zu schreiben, verwenden Sie die AuthzReportSecurityEvent--Funktion.
Der Zugriff auf das -Anwendungs--Protokoll, das Systemprotokoll und benutzerdefinierte Protokolle sind eingeschränkt. Das System gewährt Zugriff basierend auf den Zugriffsrechten, die dem Konto gewährt werden, unter dem der Thread ausgeführt wird. Die folgende Tabelle zeigt, welche Zugriffstypen von den Ereignisprotokollierungsfunktionen benötigt werden.
| Zugriffsrecht | Beschreibung |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Erforderlich für ClearEventLog-. |
| ELF_LOGFILE_READ (0x0001) | Erforderlich für OpenBackupEventLog und OpenEventLog-. |
| ELF_LOGFILE_WRITE (0x0002) | Erforderlich für RegisterEventSource-. |
Verwenden Sie den Registrierungswert CustomSD, um die Sicherheit des Application-Protokolls, des System--Protokolls und benutzerdefinierter Protokolle zu konfigurieren. Weitere Informationen finden Sie unter Eventlog Key.
Windows XP/2000: In der folgenden Tabelle werden die Zugriffsrechte für jedes Konto in jedem Protokoll beschrieben.
| Log | Konto | Lesen | Schreiben | Klar |
|---|---|---|---|---|
| Application | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | X | |
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | X | ||
| System- | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | ||
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | |||
| benutzerdefinierte | Administratoren (System) | X | X | X |
| Administratoren (Domäne) | X | X | X | |
| LocalSystem | X | X | X | |
| Interaktiver Benutzer | X | X |
Um den Zugriff auf die Mitglieder des Gastkontos zu gewähren, ändern Sie den folgenden Registrierungswert:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Log\RestrictGuestAccess-