Comment affiner la délégation sur des journaux d’évènements dans Windows 2003

Par défaut, il n'est pas possible de personnaliser les permissions sur les différents types de journaux d'évènements d'un ordinateur ou serveur. Il peut être utile de pouvoir accorder à une équipe spécifique de votre entreprise un accès en lecture seule à un type de journaux d'évènements.

En fait les droits sur les journaux d'évènements sont affectés pour chaque type d'évènements dans le registre. La liste de contrôle d'accès (ACL) est stockée comme une chaine SDDL (Security Descriptor Definition Language) dans une valeur REG_SZ "CustomSD"

Afin de simplifier la gestion de ses droits, il conviendra de passer par une GPO et donc de modifier un fichier .inf pour voir apparaitre de nouveaux paramètres de GPO.

**Modification du fichier Sceregvl.inf
**

Ce fichier est situé dans WK3/inf , il faut modifier le fichier INF du serveur sur lequel vous allez afficher la GPO.

La modification est la suivante :

- Rajouter les lignes suivantes dans la section [Register Registry Values] :

MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2

MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

- Rajouter les lignes suivantes dans la section [Strings] :

AppCustomSD="Eventlog: Security descriptor for Application event log"
SecCustomSD="Eventlog: Security descriptor for Security event log"
SysCustomSD="Eventlog: Security descriptor for System event log"
DSCustomSD="Eventlog: Security descriptor for Directory Service event log"
DNSCustomSD="Eventlog: Security descriptor for DNS Server event log"
FRSCustomSD="Eventlog: Security descriptor for File Replication Service event log"

Sauvegarder le fichier et lancer la commande « regsvr32 scecli.dll »

Les nouveaux paramètres pour l' « event logs » apparaissent maintenant dans les GPOs au niveau de :

**Computer Configuration /Windows Settings/Security Settings/Local Policies/Security Options
**


**Configuration des nouveaux paramètres
**

Dans la GPO, développez:

**Computer Configuration /Windows Settings/Security Settings/Local Policies/Security Options
**

Puis double cliquer sur « Eventlog : Security descriptor for System event log

***CustomSD


Ensuite il faut copier le CustomSD (Security Descriptor)

Le CustomSD est configuré localement dans la valeur de registre suivante :

- ***Pour le journal SYSTEM :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD

- ***Pour le journal Application:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

Vous devez utiliser la syntaxe SDDL (Security Descriptor Definition Language) pour spécifier le descripteur de sécurité de chaque journal.

Pour créer une chaîne SDDL, notez qu'il existe trois droits distincts en rapport avec les journaux des événements : Lecture, Écriture et Effacement. Ces droits correspondent aux bits suivants du champ droits d'accès de la chaîne ACE :

- 1= Lecture
- 2 = Écriture
- 4 = Effacement

Voici un exemple de syntaxe SDDL montrant la chaîne SDDL par défaut pour le journal d'application. Les droits d'accès (en hexadécimal) sont en caractères gras à des fins d'illustration :

O:BAG:SYD:(D;; 0xf0007;;;AN)(D;; 0xf0007;;;BG)(A;; 0xf0007;;;SY)(A;; 0x5;;;BA)(A;; 0x7;;;SO)(A;; 0x3;;;IU)(A;; 0x2;;;BA)(A;; 0x2;;;LS)(A;; 0x2;;;NS)
Par exemple, la première ACE refuse aux Utilisateurs anonymes l'accès en lecture, en écriture et en effacement au journal. La sixième ACE accorde aux Utilisateurs interactifs l'accès en lecture et en écriture au journal.
Pour affecter un droit à un groupe particulier, il suffit de copier une chaîne « (A;; 0x2;;;NS) » puis de définir le droit et de l'associer au SID du groupe.

Ex : (A;;0x1;;;S-1-5-21-2413859769-3038102453-1019812117-40824) : droit en lecture (0x1) sur le SID S-1-5…….

***Récupération du SID du groupe


On utilise l'utilitaire :getSID avec la syntaxe suivante :

Getsid \nomDC nomduGroupe \nomDC nomduGroupe

getsid \swpdcv0011.directory.root.local RDINXS-GSD-SystemEventLog \swpdcv0013 RDINXS-GSD-SystemEventLog

Référence : KB : Q323076