Permissões para uso do EventLog - Windows 2003

Olá, pessoal!


Hoje vou falar sobre alguns problemas que tive que passar, a respeito do uso do EventLog, mais especificamente na gravação. São os erros:

System.Security.SecurityException: Requested registry access is not allowed.

Este erro ocorre quando uma aplicação tenta gravar um registro no EventLog, mas não possui permissões para gravar no registry do Windows. Isso acontece porque o os sources do EventLog ficam armazenados no registry, embaixo da seguinte chave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application (isso para os sources que ficam na no Application, ainda temos os do Security, System, e outros que você venha a criar). Quando se quer criar um source novo, deve-se escrever no registry.

O importante a notar aqui é que a conta que está tentando escrever no EventLog deve ter permissão de escrita nessas chaves do registry. Ou então esse source já deve estar criado, para que este problema não ocorra.

Obs. Esse problema de permissão pode ser verificado através do Regmon, verificando os erros de ACCESS DENIED que ocorrem.

Cannot open log for source {0}. You may not have write access.

Este outro erro foi mais chato de descobrir, e acontecia quando uma conta de usuário tentava gravar em um source já existente no servidor, criado por outro serviço. Mesmo executando o Filemon e o Regmon, não aparecia nada que pudesse indicar onde estava o problema. Primeiro tentei dar permissão ao usuário que tentava gravar tanto nas chaves do registry quanto no arquivo onde ficam armazenados os dados do EventLog (%WINDIR%\system32\config), mas sem sucesso.

Neste caso, o que acontece é que no Windows 2003 Server, a permissão de gravação fica armazenada em uma chave no registry, chamada CustomSD (Custom Security Description). É ela que define quem pode gravar, ler e demais opções, dentro do EvenLog.

Essa chave fica em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD, e seu valor é uma string a primeira vista muito confusa:
O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA) (A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)

Muita calma nessa hora, o que cada coisa quer dizer? Vamos quebrar essa string por partes, para entender:

O:BA A letra O indica que se está especificando o owner do objeto, no caso o grupo de administradores da máquina (Built-in Admin - BA).
G:SY A letra G indica que está sendo especificado o primary group, no caso System (SY).
D: Indica que é uma DACL, ao inves de uma entrada de auditoria ou SACL.
(D;;0xf0007;;;AN) Nega o acesso totalmente para o Anonymous (Deny para AN).
(D;;0xf0007;;;BG) Nega o acesso totalmente ao Built-in Guests (Deny para BG) .
(A;;0xf0005;;;SY) Permite que o System leia e limpe (incluindo DELETE, READ_CONTROL, WRITE_DAC, e WRITE_OWNER, indicado pelo 0xf0000).
(A;;0x7;;;BA) Permite READ, WRITE e CLEAR para o Built-in Admin (BA).
(A;;0x7;;;SO) Permite READ, WRITE e CLEAR para Server Operators (SO).
(A;;0x3;;;IU) Permite READ e WRITE para Interactive Users (IU).
(A;;0x3;;;SU) Permite READ e WRITE para Service accounts (SU).
(A;;0x3;;;S-1-5-3) Permite READ e WRITE para Batch accounts (S-1-5-3).

O valor 0x3 indica que é permitido leitura e escrita, pois ele é composto através da soma de ELF_LOGFILE_READ (0x0001) e ELF_LOGFILE_WRITE (0x0002). Outro valor que pode ser combinado é ELF_LOGFILE_CLEAR (0x0004).

Com isso, podemos dar as permissões necessárias, informando o que cada usuário pode fazer.

No meu caso, esse problema aconteceu quando um web service com impersonate ligado estava tentando gravar no registry. Os usuários autenticados não tinham permissão para gravar, então dava o erro. Foi adicionado o (A;;0x3;;;AU), e o problema foi corrigido!

E se eu quisesse dar permissão para o NETWORK SERVICE, que é a conta que o ASP.NET roda no Windows 2003, colocaria (A;;0x3;;;NS).

Espero que este post seja útil para mim tanto quanto os posts de outros blogs me foram, para resolver este problema (http://support.microsoft.com/kb/329291, http://www.leastprivilege.com/EventLogACLsInWindows2003.aspx e http://www.jameskovacs.com/blog/PermaLink.aspx?guid=cd6e5f6e-7107-48bc-8563-f5669706fcdc). É incrível como, se você perquisar no Google as mensagens de erro, acaba encontrando tantas threads de fóruns que citam este problema, mas não dão a resolução.

[]'s

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Trocando configurações padrão do Live TIM

Imagem
UPDATE (Agosto/2019): Já faz um tempo que eu coloquei este post e ele é o mais visitado do meu blog. Por isso, acho importante relatar a péssima experiência que eu vinha tendo com a TIM. Se quiser ver o conteúdo original, ele está logo abaixo, mas logo depois estão os detalhes dessa atualização. Início do conteúdo original Hoje trocamos aqui em casa a Internet para o Live TIM. A primeira coisa que fiz foi trocar as senhas, pois por padrão a rede wireless se chama LIVE TIM, com senha 12345678. Não estou muito a fim de compartilhar minha conexão com outras pessoas. Para fazer isso, conectei na página de administração do modem (ZXDSL 931WII), cujo endereço (pelo menos para mim) foi  http://192.168.1.1/ . O usuário e senha padrões são admin / admin . Este também é bom trocar (no menu, Administration > User Management). O nome da rede troquei no menu Network > WLAN > SSID Settings (campo SSID Name). Já a senha da rede foi trocada em Network > WLAN > Securi
Leia mais

Uma proposta de Clean Architecure com Modelo de Atores

Imagem
Hoje eu trago uma proposta de artigo que é um exercício onde juntei dois conceitos bem legais no desenvolvimento de software: a arquitetura no estilo Clean Architecture e o modelo de atores! Eu pensei em escrever esse artigo baseado num estudo de como utilizar esses dois assuntos que eu fiz e que está disponível no meu GitHub:  https://github.com/fabiogouw/OrleansBank   Minha proposta é que este seja o primeiro artigo de uma série onde eu vou evoluindo essa aplicação de exemplo, melhorando o código e resolvendo problemas que vão surgindo, sejam eles técnicos ou mesmo conceituais. Benefícios e premissas Antes de seguirmos com este exercício, faz sentido relembrarmos os benefícios e premissas do clean architecture e do modelo de atores. Também vale citar que não são conceitos que se excluem, são coisas bem diferentes! Por que Clean Architecture? Os modelos de arquitetura como o Clean Architecture, do Uncle Bob, o Hexagonal, do Alistair Cockburn ou o Onion do Jeffrey Palermo seguem todos
Leia mais

Testes automatizados em sistemas autenticados com certificados digitais, usando Selenium e PhantomJS

Imagem
A automatização de testes é uma disciplina muito importante hoje em dia. Entre várias técnicas e ferramentas diferentes, uma das que podemos utilizar para termos um conjunto de testes funcionais que possam ser facilmente repetidos é o Selenium. O Selenium é uma ferramenta que permite que a execução de passos que uma pessoa faria em um browser web (Chrome, Edge, etc.) possa ser programada. Com isso, toda vez que for necessária a validação de uma nova versão de sistema ou correção, este grupo de testes pode ser rodado de forma automática. Ainda falando sobre a execução do Selenium, ele trabalha criando uma instância do respectivo browser e enviando comandos para ele. Dessa forma é feita a simulação de preenchimento de caixas de texto, cliques em botões, etc. Quando um teste automatizado com Selenium é rodado, pode-se ver todo o teste acontecendo. Entretanto, há um problema nesta abordagem. Caso a sessão do usuário que está executando os testes seja bloqueada, o Selenium não consegue
Leia mais