Sicurezza della registrazione eventi
Il log di sicurezza è progettato per l'uso da parte del sistema. Tuttavia, gli utenti possono leggere e cancellare il log di sicurezza se sono stati concessi il privilegio di SE_SECURITY_NAME (il diritto utente "gestire il controllo e il log di sicurezza"). Per altre informazioni, vedere Privilegi.
Solo l'autorità di sicurezza locale (Lsass.exe) dispone dell'autorizzazione di scrittura per il log di sicurezza . Nessun altro account può richiedere questo privilegio. Per scrivere un evento nel log di sicurezza , usare la funzione AuthzReportSecurityEvent .
L'accesso al registro applicazioni, al log di sistema e ai log personalizzati è limitato. Il sistema concede l'accesso in base ai diritti di accesso concessi all'account con cui è in esecuzione il thread. Nella tabella seguente vengono illustrati i tipi di accesso richiesti dalle funzioni di registrazione eventi.
| Diritto di accesso | Descrizione |
|---|---|
| ELF_LOGFILE_CLEAR (0x0004) | Obbligatorio da ClearEventLog. |
| ELF_LOGFILE_READ (0x0001) | Obbligatorio da OpenBackupEventLog e OpenEventLog. |
| ELF_LOGFILE_WRITE (0x0002) | Obbligatorio da RegisterEventSource. |
Usare il valore del Registro di sistema CustomSD per configurare la sicurezza del registro applicazioni , del log di sistema e dei log personalizzati. Per altre informazioni, vedere Chiave del log eventi.
Windows XP/2000: Nella tabella seguente vengono descritti i diritti di accesso concessi per ogni account in ogni log.
| Log | Account | Lettura | Write | Cancella |
|---|---|---|---|---|
| Applicazione | Amministratori (sistema) | X | X | X |
| Amministratori (dominio) | X | X | X | |
| LocalSystem | X | X | X | |
| Utente interattivo | X | X | ||
| Sistema | Amministratori (sistema) | X | X | X |
| Amministratori (dominio) | X | X | ||
| LocalSystem | X | X | X | |
| Utente interattivo | X | |||
| Impostazione personalizzata | Amministratori (sistema) | X | X | X |
| Amministratori (dominio) | X | X | X | |
| LocalSystem | X | X | X | |
| Utente interattivo | X | X |
Per concedere l'accesso ai membri dell'account Guest, modificare il valore del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SISTEMA\Currentcontrolset\Servizi\Eventlog\Registro\RestrictGuestAccess