Windowspage - Ereignisanzeige - Remotezugriff auf den Ereignisprotokolldienst einschränken (ab 24H2)

Detailbeschreibung

Betriebssystem: Windows 11

Ein (Remote-) Benutzer der integrierte Gruppe "Authentifizierte Benutzer" kann eine Verbindung zum Ereignisprotokolldienst auf dem eigenen Gerät oder einem anderen Gerät herstellen. Für Remoteverbindungen steht der Menüpunkt "Verbindung zu anderem Computer herstellen..."in der Ereignisanzeige ("eventvwr.msc") bereit. Der Remotezugriff auf den Ereignisprotokolldienst lässt sich so einschränken, dass ein Remotebenutzer einer bestimmten integrierten Gruppe angehören muss. Dadurch kann die Anzahl der Benutzer begrenzt und die Sicherheit erhöht werden. Unabhängig dieser Konfiguration werden lokale Verbindungen mit dem Dienst von authentifizierten Benutzern immer zugelassen.

Diese Einstellung steuert nicht den Zugriff auf einzelne Protokolle. Sobald eine Remoteverbindung zulässig ist, benötigt sie weiterhin Zugriff auf die entsprechenden Ressourcen / Daten.

So geht's:

Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
HKEY_LOCAL_MACHINE
Software
Policies
Microsoft
Windows
EventLog
Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
Verbindung einschränken:
- Doppelklicken Sie auf den Schlüssel "EnableRemoteRpcAccessRestrictions".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "EnableRemoteRpcAccessRestrictions" ein.
- Ändern Sie den Wert ggf. von "0" (nicht einschränken) auf "1" (einschränken).
Gruppenmitgliedschaft festlegen:
- Doppelklicken Sie auf den Schlüssel "RpcAccess_Remote_Setting".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "RpcAccess_Remote_Setting" ein.
- Ändern Sie den Wert ggf. auf "0" (Authentifizierte Benutzer), "1" (Ereignisprotokollleser) oder "2" (Administratoren).
Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

EnableRemoteRpcAccessRestrictions:
0 = Remotebenutzer der Gruppe "Authentifizierte Benutzer" können eine Verbindung zum Ereignisprotokolldienst herstellen. (Standard)
1 = Remotebenutzer müssen der festgelegten Gruppe zugehören um eine Verbindung zum Ereignisprotokolldienst herstellen zu können.
RpcAccess_Remote_Setting:
0 = Der Remotebenutzer muss Mitglied der Gruppe "Authentifizierte Benutzer" sein. (Standard)
1 = Der Remotebenutzer muss Mitglied der Gruppe "Ereignisprotokollleser" sein.
2 = Der Remotebenutzer muss Mitglied der Gruppe "Administratoren" sein.
Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Versionshinweis:

Diese Einstellung gilt erst ab Windows 11 Version 24H2.

Zum Seitenanfang

E-Mail

Drucken

Tipps für Windows 11
	Ereignisanzeige - Protokollierung der Druckaufträge aktivieren / deaktivieren [Windows 7, Windows 8, Windows 10, Windows 11] Ereignisanzeige - Ereigniserstellung über das Befehlszeilenprogramm [Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10, Windows 11]