Назад | Перейти на главную страницу

Изменения разрешений в журнале событий Windows не работают (изменение GPO)

Я пытаюсь предоставить разрешения учетной записи сетевой службы (SID S-1-5-20) в журнале событий «Microsoft-Windows-CAPI2 / Оперативный» (см. рисунок ниже). Однако мне нужно продвинуть это изменение на более чем 1000 серверов, и их скоро станет больше. Поэтому мое решение должно быть каким-то образом связано с GPO (я стараюсь избегать использования скрипта с GPO по техническим причинам).

Согласно инструкции от Microsoft вам необходимо:

  1. Создайте новый раздел реестра с именем «CustomSD» в соответствующем разделе журнала событий в 'HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \ custom_log'
  2. Создайте строку «CustomSD» с соответствующими разрешениями, определенными в формате SSDL: O: BAG: SYD: (A ;; 0x7 ;;; BA) (A ;; 0x2 ;;; AU) (A ;; 0x1 ;;; S-1-5-20)
  3. Перезагрузите хост и проверьте разрешения

Однако, когда я перезагружаю хост и проверяю разрешения с помощью следующих команд, я вижу, что новые разрешения не применяются:

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"  OR
Get-WinEvent -ListLog "Microsoft-Windows-CAPI2/Operational"  | Format-List -Property * 

Меня смущает то, что только следующие ключи, относящиеся к основным журналам событий, доступны в:HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \ '

И в моем случае я попытался:

Итак, я хочу сказать, что я не понимаю, почему разрешения не обновляются. Я делаю что-то неправильно ? Я также проверил следующие ссылка на сайт но кажется, что это применимо только к журналу событий, доступному в 'HKLM: \ SYSTEM \ CurrentControlSet \ services \ eventlog \ '.

Благодаря отличному ответу от @GregAskew я смог передать разрешения журнала событий через GPO. Мои шаги были:

  1. Создайте новый объект групповой политики и перейдите к настройкам реестра (доступным в разделе «Компьютер»> «Настройки»> «Параметры Windows»> «Реестр»), чтобы обновить запись «ChannelAccess».
  2. Добавьте соответствующие разрешения в формате SDDL в поле Value data:
  3. Включите журнал событий CAPI2 (деактивирован по умолчанию), обновив раздел реестра «Включено» до 1
  4. В результате мой GPO выглядит так:

После активации и применения GPO вы можете проверить на целевом клиенте правильность применения разрешений, перейдя по следующему пути в реестре.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\<event log>

Я использую wevtutil для установки разрешений:

wevtutil set-log "Microsoft-Windows-CAPI2/Operational" /channelaccess:O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)

wevtutil get-log "Microsoft-Windows-CAPI2/Operational"

name: Microsoft-Windows-CAPI2/Operational
enabled: false
type: Operational
owningPublisher: Microsoft-Windows-CAPI2
isolation: Application
channelAccess: O:BAG:SYD:(A;;0x7;;;BA)(A;;0x2;;;AU)(A;;0x1;;;S-1-5-20)
logging:
  logFileName: %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-CAPI2%4Operational.evtx
  retention: false
  autoBackup: false
  maxSize: 1052672
publishing:
  fileMax: 1