Az alábbi hozzáférési jogokat adhatjuk egy felhasználónak az eseménynaplókra:
- Read - olvasás
- Write - írás
- Clear – törlés
Biztonsági leírók (Security Descriptors)
Ahhoz, hogy a beállítást megértsük, egy kis kitérőként foglalkoznunk kell a biztonsági leírókkal. A biztonsági leírókat Security Descriptor Definition Language (SDDL) szintakszis szerinti szöveges adatként kell megadnunk. Ez a string egy nullával lezárt karaktersorozat olyan szimbólumokkal, amelyek jelzik a biztonsági leíró négy fő komponensét: owner (O:), primary group (G:), DACL (D:) és SACL (S:).
SACL: system access control list – rendszer hozzáférési lista
DACL: discretionary access control list – hozzáférés engedélyezési lista
Biztonság beállítása helyben
Valamennyi napló biztonsága az alábbi registry kulcson keresztül állítható:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog]
Például az Application Log biztonsági leírója az alábbi kulcs segítségével állítható:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\EgyediBiztonsagiLeiro]
A System naplóé, pl. a következő:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\EgyediBiztonsagiLeiro]
Valamennyi napló biztonsági leírója SDDL szintakszis szerinti. Ahhoz, hogy egy SDDL string-et összeállítsunk, háromféle jogot kell megadnunk a string-ben, az előbbiekben említett olvasás, írás, törlés jogát. Ezek a jogok az ACE string (hozzáférési jog bejegyzés) mezőben az alábbi bit-eket jelentik:
- 1= Read
- 2 = Write
- 4 = Clear
Az alábbi példa SDDL string az alapértelmezett az Application log esetében. A hozzáférési jogok hexadecimális értékek:
O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Például az első ACE tiltja az Anonymous Users csoportnak a read, write, és clear hozzáférést a naplóhoz. A hatodik ACE az Interactive Users csoportnak read és write jogot ad a naplóhoz.
A biztonsági naplót hasonló módon tudjuk beállítani, habár csak a read és clear jogot tudjuk változtatni. A write jog fenntartott az LSA helyi biztonsági hivatal, vagyis Windows Local Security Authority számára
A helyi házirend módosítása, hogy engedélyezze az eseménynaplók biztonságának testre szabását
- Készítsünk mentést a %WinDir%\Inf\Sceregvl.inf állományról.
- Nyissuk meg a %WinDir%\Inf\Sceregvl.inf állományt a Notepad segítségével.
- Keressük meg a fájl közepét, és a kurzort helyezzük közvetlenül a [Strings] elé.
- Szúrjuk be ide a következő sorokat:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2
- Menjünk a fájl végére és oda pedig a következő sorokat szúrjuk be:
AppLogSD="Event log: Specify the security of the application log in Security Descriptor Definition Language (SDDL) syntax"
SysLogSD="Event log: Specify the security of the System log in Security Descriptor Definition Language (SDDL) syntax"
- Mentsük el és zárjuk be a fájlt.
- Kattintsunk a Start-ra, majd a Run-ra, írjuk be a megnyitott szövegdobozba, hogy regsvr32 scecli.dll, és üssünk Enter-t.
- A "DllRegisterServer scecli.dll succeeded" dialógus ablakra kattintsunk OK-ot.
A számítógép helyi csoportházirendjének használata az alkalmazás- és a rendszernapló biztonságának beállítására
- Kattintsunk a Start-ra, majd a Run-ra, írjuk be, hogy gpedit.msc, és kattintsunk az OK-ra.
- A Group Policy szerkesztőben nyissuk le a Windows Setting/Security Settings/Local Policies/Security Options csomópontot.
- Kattintsunk duplán az Event log: Application log SDDL-re, írjuk be az SDDL szöveget, amelyet a biztonsághoz használni akarunk, és kattintsunk az OK-ra.
- Kattintsunk duplán az Event log: System log SDDL-re, írjuk be az SDDL szöveget, amelyet a biztonsághoz használni akarunk, és kattintsunk az OK-ra.
A csoportházirend használata az alkalmazás- és a rendszernapló biztonságának beállítására egy tartomány, telephely vagy szervezeti egység számára az Active Directory-ban
- A Notepad segítségével nyissuk meg a Sceregvl.inf fájlt a %Windir%\Inf mappában.
- Adjuk hozzá a következő sorokat a [Register Registry Values] szakaszhoz:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
- Adjuk hozzá a következőket a [Strings] szakaszhoz:
AppCustomSD="Eventlog: Security descriptor for Application event log"
SecCustomSD="Eventlog: Security descriptor for Security event log"
SysCustomSD="Eventlog: Security descriptor for System event log"
- Mentsük el a beállításokat a Sceregvl.inf fájlba, és futtassuk a regsvr32 scecli.dll parancsot.
- Indítsuk el a Gpedit.msc-t, és duplán kattintsunk az alábbiakra, hogy lenyissuk őket:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Security Options
- Tekintsük meg a jobboldali panelt, hogy megkeressük az új "Eventlog" beállításokat.
A csoportházirend használata a biztonság beállítására
- Az Active Directory Sites and Services snap-in-ben vagy az Active Directory Users and Computers snap-in-ben jobb egérgombbal kattintsunk az objektumra, amelyre házirendet szeretnénk beállítani, és válasszuk a Properties-t.
- Váltsunk a Group Policy lapra.
- Ha létre kell hoznunk egy új házirendet, kattintsunk a New-ra, és azután adjuk meg a házirend nevét. Egyéb esetben hagyjuk ki a következő lépést, és onnan folytassuk.
- Válasszuk ki azt a házirendet, amelyet szeretnénk és kattintsunk az Edit-re.
A Local Group Policy MMC snap-in megjelenik.
- Nyissuk le a Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options-t.
- Kattintsunk duplán az Event log: Application log SDDL-re, írjuk be az SDDL szöveget, amelyet a biztonsághoz használni akarunk, és kattintsunk az OK-ra.
- Kattintsunk duplán az Event log: System log SDDL-re, írjuk be az SDDL szöveget, amelyet a biztonsághoz használni akarunk, és kattintsunk az OK-ra.