Permissions sur les journaux d'événements

  • Article

Sous Windows NT4 et Windows 2000, il n'est pas possible de définir de manière détaillée les permissions sur les journaux d'événements. Les permissions implémentées par défaut vis-à-vis des journaux d'événements sont:

  • Full control pour les utilisateurs possédant le droit "Manage auditing and security log".
  • Lecture des journaux Application et System pour tout le monde, y compris pour le compte Guest.

Il est possible de retirer le droit de lecture au compte Guest des journaux Application et System en créant la valeur RestrictGuestAccess de type REG_DWORD et en la mettant à 1 sous la clé: HKLM\System\CCS\Services\EventLog\<nom_journal> (Par exemple: HKLM\System\CCS\Services\EventLog\System)

Un redémarrage est nécessaire pour que cette valeur soit prise en compte.

A partir de Windows Server 2003 et Windows XP, l'accès aux journaux d'événement est contrôlé:

  • Par les permissions gérant les accès distants à la registry. Elles sont positionnées sur la clé HKLM\System\CCS\Control\SecurePipeServers\WinReg
  • Par des permissions positionnées sur chaque journal. Elles sont stockées dans le registre, dans la valeur CustomSD du paramétrage de chacun des journaux (sous HKLM\SYSTEM\CurrentControlSet\Services\EventLog ).

Les valeurs de CustomSD contiennent le secutity descriptor au format SDDL. Trois permissions peuvent être positionnées: Read, Write et Clear. Pour le journal Security, seules les permissions Read et Clear peuvent être positionnés car le droit Write est réservé à LSA.

Les valeurs positionnées par défaut sont:

  • Pour le journal Application, Directory Service, DNS Server: O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU)(A;;0x1;;;S-1-5-3)
  • Pour le journal System: O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)
  • Pour le journal sécurité: O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0005;;;SY)(A;;0x5;;;BA)

Ces permissions sont plus restrictives que sous Windows 2000 car elles n'autorisent pas la lecture par le réseau aux comptes utilisateurs. Elles les autorisent par contre, pour ces derniers, lorsqu'ils sont connectés en interactif.

Plus de détail sur cette fonctionnalité dans l'article technique
323076 - How to set event log security locally or by using Group Policy in Windows Server 2003
https://support.microsoft.com/default.aspx?scid=kb;EN-US;3230761

Mots clés Technorati : ACL Journal d'événement eventlog permission sécurité

Plus de détails sur le format SDDL Dans l'article MSDN
Security Descriptor String Format
https://msdn2.microsoft.com/en-us/library/aa379570.aspx