Как да защитим регистъра на събитията прозорци събитие защита на дневника

Това, което се събитието да влезете Widnows?

  • Eventlogsourcesview - една проста програма, която показва всички данни от регистъра на събитията.
  • LastActivityView - една програма, която показва дневника на активността на потребителя

Осигуряване регистрационните файлове за събития на Windows

Операционната система Windows има много мощни функции за регистриране. Но за съжаление, дневник на събитията подразбиране (Event Viewer), не са защитени от неоторизиран достъп или модификация. Въпреки факта, че събитията се преглеждат чрез преглед на събитията, регистъра на събитията е обикновен файл е същата като останалите. За да ги предпази от достъп е необходимо само да се намерят тези файлове и да ги използвате, за да съвпада с ACL (списък за контрол на достъп).

Как да защитим регистъра на събитията прозорци събитие защита на дневника

Всички записи в регистъра събитие са в ключа на системния регистър

Този ключ съдържа подклавиши, които се наричат ​​лог файлове.

  • AppEvent.Evt - заявление лог файл за приложения и услуги за събития;
  • SecEvent.Evt - сигурност одит лог файл за системни събития;
  • SysEvent.Evt - регистрационен файл за събития на драйвера за устройството.

Ако само местоположението на файла не е променена с помощта на системния регистър, а след това те трябва да са в директорията% SystemRoot% на \ system32 \ довереник.

Трябва да се отбележи, че Windows записва го отнеме много система пространство. Не си мислете, че те трябва да бъдат постоянно почистени.

С журнала на приложенията, сигурност и система за лог файлове се сравняват SysEvent.Evt, AppEvent.Evt и съответно SecEvent.Evt. За да се ограничи достъпа до тях само с помощта на администраторски акаунт, за да прилага него ACL. Това може да стане чрез диалогов прозорец за свойства на файла. Щракнете върху раздела Security (сигурност), го премахнете от всички потребители и групи, с изключение на Администраторите и SYSTEM.