Удаленный доступ » Как устранить ошибку отказа в доступе при удаленном подключении к средству просмотра событий

Как устранить ошибку "Отказано в доступе" при удаленном доступе к журналам событий через средство просмотра событий?

Быстрый поиск

    Организации быстро переходят на удаленную модель работы, и больше всего от этого страдают ИТ-администраторы, поскольку им приходится тщательно контролировать сеть из дома, чтобы предоставить пользователям безопасную рабочую среду.

    Мониторинг можно осуществлять с помощью собственных инструментов путем удаленного доступа к журналам событий на компьютерах пользователей. Однако при использовании средства просмотра событий администраторы часто получают следующую ошибку:

    "Error 5: Access is denied"

    В данной статье рассматриваются причины возникновения данной ошибки и способы ее устранения.

    Причины.

    1. На удаленном компьютере в параметрах групповой политики включен параметр Сетевой клиент Microsoft: Использовать цифровую подпись (всегда). Порядок отключения этого параметра представлен здесь.
    2. Учетная запись LOCAL SERVICE не имеет прав доступа к реестру или средству просмотра событий на удаленном компьютере. Это может произойти, если удаленный компьютер был обновлен с Microsoft Windows 2000 до Windows XP Professional. Нажмите здесь, чтобы устранить эту проблему.
    3. Пользователь, пытающийся получить доступ к журналам событий, является членом гостевой группы или гостевой группы домена. В таком случае пользователь не сможет получить удаленный доступ к журналам событий, если компьютер, к которому осуществляется доступ, работает под управлением ОС Windows Server 2003 или Windows 2000. Порядок устранения этой проблемы представлен здесь.

    Решение для причины 1:

    1. На компьютере, к журналам которого необходимо получить доступ, откройте редактор групповой политики, введя gpedit.msc в окне Выполнить.
    2. Перейдите в раздел Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности.
    3. Дважды щелкните пункт Сетевой клиент Microsoft: Использовать цифровую подпись для сообщений (всегда) и выберите Отключено.
    4. Нажмите кнопку ОК, чтобы сохранить изменения.
    5. Откройте командную строку и выполните команду gpupdate/force. Эта команда обновляет локальные групповые политики, а также групповые политики домена.

    Решение для причины 2:

    1. На компьютере, к журналам которого необходимо получить доступ, откройте редактор реестра, введя regedit в окне Выполнить.
    2. Перейдите в раздел HKEY_LOCAL_MACHINE SYSTEM -> CurrentControlSet -> Control -> SecurePipeServers.
    3. Щелкните правой кнопкой мыши по winreg и выберите Разрешения.
    4. Нажмите кнопку Добавить.
    5. Введите имя пользователя или группы, которым требуется доступ к журналам событий на компьютере. Щелкните Ok.
    6. Для выбранного пользователя/группы установите флажок Разрешить рядом с разрешением Чтение для списка <имя_группы>.
    7. Нажмите Применить и перезагрузите компьютер, чтобы изменения вступили в силу.

    Решение для причины 3:

    1. Откройте консоль управления Microsoft, введя mmc в окне "Выполнить".
    2. В меню "Файл" выберите Добавить/удалить оснастку.
    3. Нажмите Добавить, а затем выберите Редактор объектов групповой политики.
    4. Найдите пункт Политика домена по умолчанию. Нажмите ОК, а затем Готово.
    5. Нажмите Закрыть, а затем - кнопку ОК.
    6. В консоли на панели слева выберите раздел Политика домена по умолчанию -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Журнал событий -> Параметры журналов событий.
    7. Дважды щелкните Ограничить гостевой доступ к журналу приложений, снимите флажок Определить этот параметр политики, а затем нажмите кнопку "ОК".
    8. Повторите шаг 7 для параметров Ограничить гостевой доступ к журналу безопасности и Ограничить гостевой доступ к системному журналу.
    9. Откройте редактор реестра, введя regedit в окне Выполнить.
    10. Перейдите в раздел HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> EventLog. Выберите Приложение.
    11. В меню Правка выберите Создать и нажмите Параметр DWORD (32 бита).
    12. Введите имя "RestrictGuestAccess" и нажмите клавишу ВВОД.
    13. Дважды щелкните RestrictGuestAccess. В поле Значение введите 1 и нажмите кнопку "ОК".
    14. Повторите шаги 12–14 для журналов безопасности и системы в разделе EventLog.

    Для устранения этой проблемы можно использовать указанные выше советы по поиску и устранению неисправностей.

    Необходимо помнить, что использование собственных инструментов для обработки журналов со временем становится утомительным процессом, что приводит к трудозатратам, снижению производительности и проблемам с соответствием требованиям. К счастью, существуют решения, которые упрощают такую работу за счет централизованного управления журналами сети и реализации мер по обеспечению соответствия.

    EventLog Analyzer - это комплексное решение для управления журналами, которое позволяет удаленно собирать, анализировать, сопоставлять, выполнять поиск по данным журналов, создавать отчеты и отправлять оповещения в режиме реального времени - и все это всего несколькими щелчками мышью. Попробуйте EventLog Analyzer уже сегодня.

    EventLog Analyzer

    EventLog Analyzer — это комплексное решение для управления журналами, которое собирает, анализирует, сопоставляет и архивирует данные журналов как локально, так и из облачной сети. Благодаря возможности глубокого анализа журналов EventLog Analyzer помогает предприятиям предотвращать угрозы безопасности в режиме реального времени, выявлять аномальное поведение пользователей и эффективно управлять инцидентами безопасности. Хотите узнать, как наше решение поможет вам защитить вашу облачную среду? Проверьте.

    Загрузить
    Главная »