Segurança de log de eventos
O log de segurança foi projetado para uso pelo sistema. No entanto, os usuários poderão ler e limpar o log de segurança se receberem o privilégio SE_SECURITY_NAME (o direito de usuário "gerenciar log de auditoria e segurança"). Para obter mais informações, consulte Privilégios.
Somente a Autoridade de Segurança Local (Lsass.exe) tem permissão de gravação para o log de segurança . Nenhuma outra conta pode solicitar esse privilégio. Para gravar um evento no log de segurança , use a função AuthzReportSecurityEvent .
O acesso ao log do aplicativo , ao log do sistema e aos logs personalizados é restrito. O sistema concede acesso com base nos direitos de acesso concedidos à conta sob a qual o thread está em execução. A tabela a seguir mostra quais tipos de acesso são exigidos pelas funções de log de eventos.
Direito de acesso | Descrição |
---|---|
ELF_LOGFILE_CLEAR (0x0004) | Exigido por ClearEventLog. |
ELF_LOGFILE_READ (0x0001) | Exigido por OpenBackupEventLog e OpenEventLog. |
ELF_LOGFILE_WRITE (0x0002) | Exigido por RegisterEventSource. |
Use o valor do Registro CustomSD para configurar a segurança do log do aplicativo , do log do sistema e dos logs personalizados. Para obter mais informações, consulte Chave de log de eventos.
Windows XP/2000: A tabela a seguir descreve os direitos de acesso concedidos para cada conta em cada log.
Registro | Conta | Ler | Gravar | Limpar |
---|---|---|---|---|
Aplicativo | Administradores (sistema) | X | X | X |
Administradores (domínio) | X | X | X | |
LocalSystem | X | X | X | |
Usuário interativo | X | X | ||
System | Administradores (sistema) | X | X | X |
Administradores (domínio) | X | X | ||
LocalSystem | X | X | X | |
Usuário interativo | X | |||
Personalizado | Administradores (sistema) | X | X | X |
Administradores (domínio) | X | X | X | |
LocalSystem | X | X | X | |
Usuário interativo | X | X |
Para conceder acesso aos membros da conta convidado, altere o seguinte valor do Registro:
HKEY_LOCAL_MACHINE\SISTEMA\Currentcontrolset\Serviços\Eventlog\Log\RestrictGuestAccess