Udostępnij za pośrednictwem

Zabezpieczenia rejestrowania zdarzeń

  • Artykuł

Dziennik Security jest przeznaczony do użytku przez system. Jednak użytkownicy mogą odczytywać i czyścić dziennik zabezpieczeń, jeśli udzielono im uprawnień SE_SECURITY_NAME (prawa użytkownika "zarządzanie dziennikiem inspekcji i zabezpieczeń"). Aby uzyskać więcej informacji, zobacz Uprawnienia.

Tylko urząd zabezpieczeń lokalnych (Lsass.exe) ma uprawnienia do zapisu dla dziennika zabezpieczeń. Żadne inne konto nie może zażądać tego uprawnienia. Aby zapisać zdarzenie w dzienniku zabezpieczeń, użyj funkcji AuthzReportSecurityEvent.

Dostęp do dziennika aplikacji, dziennika System i dzienników niestandardowych jest ograniczony. System udziela dostępu na podstawie praw dostępu przyznanych do konta, na którym działa wątek. W poniższej tabeli przedstawiono typy dostępu wymagane przez funkcje rejestrowania zdarzeń.

Prawo dostępu Opis
ELF_LOGFILE_CLEAR (0x0004) Wymagane przez clearEventLog.
ELF_LOGFILE_READ (0x0001) Wymagane przez OpenBackupEventLog i OpenEventLog.
ELF_LOGFILE_WRITE (0x0002) Wymagane przez RegisterEventSource.

 

Użyj wartości rejestru CustomSD, aby skonfigurować zabezpieczenia dziennika aplikacji, dziennika System i dzienników niestandardowych. Aby uzyskać więcej informacji, zobacz Eventlog Key.

Windows XP/2000: W poniższej tabeli opisano prawa dostępu przyznane dla każdego konta w każdym dzienniku.

Dziennik Rachunek Czytać Pisać Jasny
aplikacji Administratorzy (system) X X X
Administratorzy (domena) X X X
LocalSystem X X X
Interakcyjny użytkownik X X
System Administratorzy (system) X X X
Administratorzy (domena) X X
LocalSystem X X X
Interakcyjny użytkownik X
niestandardowe Administratorzy (system) X X X
Administratorzy (domena) X X X
LocalSystem X X X
Interakcyjny użytkownik X X

 

Aby udzielić dostępu członkom konta gościa, zmień następującą wartość rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Log\RestrictGuestAccess