Sicherheitsauswirkungen von Ereignisprotokollen

Aktualisiert: November 2007

Der Zugriff auf die Ereignisprotokolle wird durch das Konto kontrolliert, unter dem die Anwendung ausgeführt wird. Das LocalSystem-Konto ist ein spezielles Konto, das von Dienstanwendungen verwendet wird. Das Administrator-Konto umfasst die Administratoren des Systems, das ServerOp (Serveroperator)-Konto die Administratoren des Domänenservers und das World-Konto alle Benutzer auf allen Systemen.

Der folgenden Tabelle können Sie entnehmen, welche Konten Lese-, Schreib- und Löschzugriffe auf das jeweilige Protokoll unterstützen.

Protokoll

Konto

Zugriff

Anwendung

LocalSystem

Lesen, Schreiben, Löschen

Administrator

Lesen, Schreiben, Löschen

ServerOp

Lesen, Schreiben, Löschen

World

Lesen, Schreiben

Sicherheit

LocalSystem

Lesen, Schreiben, Löschen

Administrator

Lesen, Schreiben

World

Keines

System

LocalSystem

Lesen, Schreiben, Löschen

Administrator

Lesen, Schreiben, Löschen

ServerOp

Lesen, Löschen

World

Lesen

Darüber hinaus kann das Sicherheitsprotokoll von Benutzern gelesen und gelöscht werden, sofern diese über eine der folgenden Berechtigungen verfügen:

  • Das Benutzerrecht zum Verwalten von Überwachungs- und Sicherheitsprotokollen.

  • Die SE_AUDIT_NAME-Berechtigung. Weitere Informationen finden Sie unter Autorisierungskonstanten.

Weitere Informationen finden Sie in der Windows-Dokumentation.

Wenn Sie Ereignisprotokolle in einer ASP.NET-Anwendung verwenden, erfolgt der Zugriff auf die Ereignisprotokolle über ein anderes Konto, und zwar das ASPNET-Konto. Die Standardeinstellungen für das ASPNET-Benutzerkonto schränken den Zugriff auf die Ereignisprotokolle ein. Das ASPNET-Benutzerkonto verfügt über keine Berechtigung zum Erstellen neuer Kategorien, kann jedoch Einträge zu einem vorhandenen Protokoll hinzufügen. Sie können mit dem ASPNET-Benutzerkonto Identitätswechsel vornehmen, um die Erstellung neuer Kategorien zu ermöglichen. Die neue Identität muss über ausreichende Rechte zum Erstellen von Kategorien verfügen. Wenn die Anwendung Ereignisprotokolle benötigt, die vor der Bereitstellung festgelegt werden können, können diese durch das Bereitstellungsprojekt erstellt werden. Weitere Informationen hierzu finden Sie unter Sicherheit für ASP.NET-Webanwendungen.

Beachten Sie bei der Erstellung eines Ereignisprotokolls, dass die Ressource bereits vorhanden sein kann. Möglicherweise wurde die Ressource bereits von einem bösartigen Prozess erstellt, der nun darauf zugreifen kann. Wenn Sie dem Ereignisprotokoll Daten hinzufügen, kann der andere Prozess darauf zugreifen. Informationen über vorhandene Ereignisprotokolle finden Sie unter Gewusst wie: Bestimmen, ob spezifische Ereignisprotokolle vorhanden sind.

Siehe auch

Konzepte

Einführung in die EventLog-Komponente