juillet
2010
Un article de Ptit_Dje
Il est parfois requis de definir une securite personnalisee au niveau des journaux de l’event viewer de windows.
Pour ce faire nous allons tout d’abord nous servir de la commande getsid dans une fenetre CMD comme ceci:
getsid \\ServerName (AD)Group/User \\ServerName (AD)User/Group
Exemple: getsid \\Server1 GroupeDeveloppeur \\Server1 UtilisateurX
Cette commande va retourner le SID attribue sur le Server1 pour le groupe GroupeDeveloppeur et l’utilisateur UtilisateurX.
La definition des permissions sur les journaux d’evenement se fait au niveau de la registry de windows, au niveau de la clef:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\{LogName} -> customSD
Ou LogName est le nom du fichier log sur lequel on veut attribuer des permissions specifiques.
On va ajouter a la valeur contenue dans customSD la chaine suivante:
({TypePermission};;{Acces};;;{SID})
Ou:
{TypePermission} est soit A pour autoriser soit D pour refuser l’acces.
{Acces} est la valeur en hexadecimal des acces que l’on souhaite autoriser ou refuser bases sur les valeurs suivantes:
1 – Lecture
2 – Ecriture
4 – Effacement.
Soit pour autoriser l’acces en lecture a l’utilisateur ayant un SID de 1-2-3456 pour le journal MonJournal, on va aller dans la base de registre au niveau de la clef HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\MonJournal et rajouter a la valeur de CustomSD:
(A;;0x1;;;1-2-3456)