Изменения разрешений в журнале событий Windows не работают (изменение объекта групповой политики)

Question

Изменения разрешений в журнале событий Windows не работают (изменение объекта групповой политики)

Я пытаюсь предоставить разрешения учетной записи сетевой службы (SID S-1-5-20) в журнале событий "Microsoft-Windows-CAPI2 / Operational" (см. Рисунок ниже). Однако мне нужно продвинуть это изменение на более чем 1000 серверах, и скоро появятся новые. Поэтому мое решение должно быть каким-то образом связано с объектом групповой политики (я пытаюсь избежать использования сценария с объектом групповой политики по техническим причинам).

Согласно инструкции от Microsoft, вы должны:

Создайте новый раздел реестра с именем "CustomSD" в соответствующем ключе журнала событий в " HKLM:\SYSTEM\CurrentControlSet\services\eventlog\custom_log "
Создайте строку "CustomSD" с соответствующими разрешениями, определенными в формате SSDL: O: BAG: SYD: (A;; 0x7;;; BA) (A;; 0x2;;; AU) (A;; 0x1;;; S-1-5-20)
Перезагрузите хост и проверьте разрешения

Однако, когда я перезагружаю хост и проверяю разрешения с помощью следующих команд, я вижу, что новые разрешения не применяются:

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"  OR
Get-WinEvent -ListLog "Microsoft-Windows-CAPI2/Operational"  | Format-List -Property *

Меня смущает то, что только следующие ключи, связанные с основными журналами событий, доступны в: ' HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \'

И в моем случае я попытался:

создать новый раздел реестра в ' HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \ CAPI2 ">> не работает

создать раздел реестра по следующему пути "HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \ application \ Microsoft-Windows-CAPI2", так как имя журнала событий присутствовало >> не работало

Итак, я хочу сказать, что я не понимаю, почему разрешения не обновляются. Я делаю что-то неправильно? Я также проверил следующую ссылку, но, похоже, она применяется только к журналу событий, доступному в ' HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \'.

2

permissions windows-event-log windows-registry

Источник

Michel de Crevoisier 10 апр '19 в 12:54

2 ответа

Решение

Я использую wevtutil, чтобы установить разрешения:

wevtutil set-log "Microsoft-Windows-CAPI2/Operational" /channelaccess:O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"

name: Microsoft-Windows-CAPI2/Operational
enabled: false
type: Operational
owningPublisher: Microsoft-Windows-CAPI2
isolation: Application
channelAccess: O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-CAPI2%4Operational.evtx
  retention: false
  autoBackup: false
  maxSize: 1052672
publishing:
  fileMax: 1

0

Источник

Greg Askew 10 апр '19 в 13:29

Другие вопросы по тегам permissions windows-event-log windows-registry

Michel de Crevoisier 12 апр '19 в 14:35 2019-04-12 14:35 · Accepted Answer · 2019-04-12 14:35

Благодаря великолепному ответу @GregAskew я смог выдвинуть разрешения журнала событий через GPO. Мои шаги были:

Создайте новый объект групповой политики и перейдите к настройкам реестра (доступно в разделе "Компьютер"> "Настройки"> "Настройки Windows"> "Реестр"), чтобы обновить запись "ChannelAccess".
Добавьте соответствующие разрешения в формате SDDL в поле Значение данных:
Включить журнал событий CAPI2 (деактивирован по умолчанию), обновив раздел реестра "Включено" до 1
В результате мой GPO выглядит так:

После активации и применения объекта групповой политики вы можете проверить на целевом клиенте правильное применение разрешений, перейдя по следующему пути в реестре.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<event log>