Cum de a proteja ferestrele jurnalul de evenimente eveniment Protecție jurnal
Ce este log eveniment Widnows?
- Eventlogsourcesview - un utilitar simplu, care afișează toate datele din jurnalul de evenimente.
- LastActivityView - un utilitar care arată jurnalul activității utilizatorului
Securizarea fișierele jurnal de evenimente Windows
Sistemul de operare Windows are un foarte puternic caracteristici de logare. Dar, din păcate, jurnalul de evenimente implicit (Event Viewer) nu sunt protejate împotriva accesului neautorizat sau modificarea. În ciuda faptului că evenimentele sunt privite prin Event Viewer, jurnalul de evenimente este un fișier obișnuit este la fel ca restul. Pentru a le proteja de acces este necesar doar pentru a găsi aceste fișiere și să le folosească pentru a se potrivi ACL (lista de control acces).
Toate intrările de jurnal de evenimente sunt în cheia de registry
Această cheie conține subchei, care sunt numite fișiere jurnal.
- AppEvent.Evt - cerere fișier jurnal pentru aplicații și servicii de evenimente;
- SecEvent.Evt - securitate fișier jurnal de audit pentru evenimente de sistem;
- SysEvent.Evt - fișier jurnal pentru evenimentele de driver de dispozitiv.
Dacă numai locația fișierului nu a fost modificat prin utilizarea registru, atunci acestea ar trebui să fie în directorul% SystemRoot% \ system32 \ config.
Trebuie remarcat faptul că Windows jurnalele de ia-o mulțime de spațiu de sistem. Nu presupuneți că acestea trebuie să fie curățate în mod constant.
Cu jurnalul de aplicații, fișiere de securitate și de sistem de jurnal sunt comparate SysEvent.Evt, AppEvent.Evt și, în consecință SecEvent.Evt. Pentru a restricționa accesul la acestea numai cu ajutorul unui cont de administrator pentru a aplica ACL-l. Acest lucru se poate face printr-un dialog de proprietăți de fișier caseta. Faceți clic pe fila Securitate (Security), eliminați-l pe toți utilizatorii și grupurile cu excepția administratorilor și a sistemului.