إستخدام WEVTUTIL للتحقق من أذونات سجل الأحداث

المقدمة

يصف هذا المستند إستخدام WebSwitch للتحقق من أذونات حدث تسجيل الدخول إلى الموصل.

يمكنك إختبار ما إذا كان الموصل يمكنه قراءة أحداث تسجيل الدخول من وحدة التحكم المباشر باستخدام WBemtest.

إذا فشل WBemtest في الاتصال، فإن ذلك يحدث عادة بسبب خطأ في أذونات WMI/DCOM، لذا اطلب المساعدة من مكان آخر.

ومع ذلك، في بعض الحالات، يتم الاتصال ولكن لا يتم إظهار أية أحداث. 

هناك سببان لهذا:

• نهج التدقيق غير صحيح، لذلك لا يتم تعقب أحداث تسجيل الدخول على وحدة التحكم بالمجال.  طلب المساعدة في سياسة التدقيق.
• يتم الآن تسجيل الأحداث في وحدة التحكم بالمجال DC ولكن لا يوجد لدى OpenDNS_Connector الإذن بالقراءة من سجل أحداث الأمان.  تابع...

الأساسيات - قارئات سجل الأحداث

في معظم الحالات يكون ذلك بسيطا مثل إضافة مستخدم OpenDNS_Connector إلى مجموعة قراء سجل الأحداث. هذا يعطيه الأذونات التي يحتاجها لقراءة سجل الأحداث.

wevtutil - التحقق من الأذونات

في بعض الحالات النادرة، لا يكون لمجموعة قارئات سجل الأحداث الأذونات الافتراضية. يمكننا إستخدام WebTable للتحقق بسهولة من الأذونات الممنوحة لسجل أحداث الأمان. 

تشغيل بسيط:

wevtutil gl security

1. يوضح الإخراج الأذونات باستخدام صياغة SDDL كما يلي:
   

   channelAccess: O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-573)

2. إن SID لقارئ سجل الأحداث هو S-1-5-32-573 أو يمكن إختصاره إلى ER.
3. تكون القيمة السداسية العشرية للأذونات، مثل:
• 0x1 = قراءة
• 0x2 = الكتابة
• 0x3 = قراءة/كتابة\

الإصلاح 1 - إعادة الضبط إلى الوضع الافتراضي

يمكن إعادة تعيين الأذونات إلى القيمة الافتراضية عن طريق حذف قيمة سجل تحتوي على سلسلة SDDL المخصصة.  هذا إصلاح سريع، ولكنه قد يؤثر على البرامج الأخرى التي تقرأ من سجل الأحداث (إن أمكن).

احذف قيمة 'CustomSD' من HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security

إصلاح 2 - تحديث SDDL باستخدام wevtutil

في ظروف نادرة، يمكننا تعيين الأذونات مباشرة باستخدام WebSwitch. 

1. احصل على الأذونات الحالية كما هو موضح مسبقا، باستخدام هذا الأمر:

   wevtutil gl security

2. دون سلسلة الوصول إلى القناة.  مثال:
   

   /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)

3. اعمل على اكتشاف SID لمستخدم OpenDNS_Connector:
   

   wmic useraccount where name='OpenDNS_Connector' get sid

4. يمكنك منح حق الوصول للقراءة إلى OpenDNS_Connector عن طريق إرفاقه بسلسلة وصول القناة الموجودة كما يلي.  استبدل <sid> بمعرف أمان OpenDNS_Connector.
   

   wevtutil sl security /ca:O:BAG:SYD:(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;<SID>)

كمرجع، فيما يلي معرف الأمان (SID) الخاص بمجموعة قراء سجل الأحداث. 

سيد: إس-1-5-32-573
الاسم: قارئات سجل الأحداث/BUILTIN
الوصف: فريق بناء محلي. يمكن لأعضاء هذه المجموعة قراءة سجلات الأحداث من الجهاز المحلي.

الإصلاح 3 - GPO 

يمكن منح حساب OpenDNS Connector الإذن لقراءة (والكتابة!) سجل أحداث الأمان باستخدام إعداد نهج المجموعة هذا.  يعطي هذا الإعداد من الناحية التقنية أذونات أكثر مما هو مطلوب، ولكنه طريقة سهلة لإجراء التغيير.

تكوين الكمبيوتر\النهج\إعدادات Windows\إعدادات الأمان\النهج المحلية\تعيين حقوق المستخدم\إدارة التدقيق وسجل الأمان

بعد إجراء التغيير، الرجاء تشغيل 'gpupdate /force' على وحدة التحكم بالمجال.

ملاحظة: على المستوى الوظيفي لنظام التشغيل Windows 2003 / 2003، قد لا توجد مجموعة "قارئات سجلات الأحداث"، ومن ثم، فإن GPO هذا هو الأسلوب الأساسي للسماح بوصول موصل OpenDNS إلى هذه الأنظمة الأساسية.