等保测评2.0：Windows安全审计(2)

另外，在事件查看器中可以直接清空日志，对于一个隶属于users的普通用户而言，在事件查看器中，安全日志看都看不了，其余的日志可看，但均不可操作：

对于任何一个日志，都无权进行清空以及属性设置：

将该普通用户添加到event log reader组后，可以查看安全日志了，但对于所有日志仍然不能操作：

如果给该普通用户加上管理审核和安全日志的权限，则仅对于安全日志则具备清除日志的权限，其他权限仍然不具备：

如果给该普通用户加上生成安全审核的权限，则权限方面没啥变化：

5.4. 避免受到未预期的删除、修改或覆盖

从文件权限和事件查看器的权限来看，拥有管理审核和安全日志的权限，则可以在事件查看器中清除安全日志。

而隶属于administrators组的用户，则可以直接删除日志文件，以及在事件查看器中清除任何日志，以及设置日志的存储策略。

至于administrators组在事件查看器中的权限是在哪设置的，我不知道，哪位知道可以告诉我……

因为就算在管理审核和安全日志的权限中移除掉administrators组(该权限默认赋予给administrators组的)，administrators组的权限仍然没有变化……

对于日志的存储策略，默认都是如下图所设置：

一是按需要覆盖事件(旧事件优先)。也就是说，当日志文件达到上限时，会把一些旧的日志文件记录删除掉，以存储新的日志信息