Event Logging wordt in Windows gebruikt om de gebeurtenissen in verschillende programma's in één lijst te loggen, waardoor systeembeheerders eenvoudiger problemen kunnen opsporen en oplossen. Deze data kan erg gevoelig zijn en is aantrekkelijk voor hackers. Protected Event Logging versleutelt de data die naar het log verzonden wordt met Cryptographic Message Syntax of CMS. Op dit moment is PowerShell de enige applicatie waarvoor de functie te gebruiken is.
PEL is beschikbaar vanaf PowerShell v5, onderdeel van Windows Management Framework versie 5, dat ook updates voor bijvoorbeeld remote management installeert. De functie is standaard niet ingeschakeld. Als je scripts gebruikt die gevoelige informatie verwerken is het aan te raden dit wel te doen, met behulp van onderstaande stappen.
Er zijn twee methoden, met behulp van de Local Group Policy Editor of de Registry Editor. Vooraf moet je een encryptiecertificaat maken, dat kan door in het Kladblok onderstaande code te kopiëren en op te slaan als DocumentEncryption.inf. Vervang de tekst achter Subject door je eigen naam of email-adres.
[Version]
Signature = "$Windows NT$"
[Strings]
szOID_ENHANCED_KEY_USAGE = "2.5.29.37"
szOID_DOCUMENT_ENCRYPTION = "1.3.6.1.4.1.311.80.1"
[NewRequest]
Subject = "cn=me@somewhere.com"
MachineKeySet = false
KeyLength = 2048
KeySpec = AT_KEYEXCHANGE
HashAlgorithm = Sha1
Exportable = true
RequestType = Cert
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE | CERT_DATA_ENCIPHERMENT_KEY_USAGE"
ValidityPeriod = "Years"
ValidityPeriodUnits = "1000"
[Extensions]
%szOID_ENHANCED_KEY_USAGE% = "{text}%szOID_DOCUMENT_ENCRYPTION%"
Na het opslaan voer je onderstaande regel uit in PowerShell:
certreq -new DocumentEncryption.inf DocumentEncryption.cer
Open nu de Group Policy Editor en navigeer onder Computer Configuration naar Event Logging. Dubbelklik op Enable Protected Event Logging en selecteer enabled, of ingeschakeld in het Nederlands. Voer dan het encryptiecertificaat DocumentEncryption.cer in en druk op OK. Om de functie weer uit te schakelen vink je in hetzelfde scherm Disabled of Not Configured aan en sla je dit op.
Als je de register-editor wilt gebruiken is het aan te raden vooraf een back-up te maken van de registerbestanden. Open dan de Registry Editor en Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\ Policies\Microsoft\Windows. Rechtsklik op Windows, kies voor Nieuw en selecteer Key of Sleutel. Geef deze de naam Eventlog en rechtsklik hierop. Maak weer een nieuwe sleutel aan, ditmaal met de naam ProtectedEventLogging.
Maak nog een nieuw bestand aan, ditmaal van het type DWORD (32-bit) Value en als naam EnableProtectedEventLogging. Dubbelklik hierop om de waarde te wijzigen naar 1, of ingeschakeld. Maak onder ProtectedEventLogging een nieuwe Multi-String Value aan en noem deze EncryptionCertificate. Dubbelklik om het eerder aangemaakte encryptiecertificaat toe te voegen en druk op OK. Na het rebooten van je systeem is PEL ingeschakeld.
Als je de functie weer wilt uitschakelen kan dit door de REG_DWORD-waarde van 1 en de Multi-String Value met het certificaat te verwijderen
Bron: The Windows Club
4 besproken producten
| Vergelijk | Product | Prijs | |
|---|---|---|---|
|
Microsoft Windows 10 Home NL
|
Niet verkrijgbaar | |
|
Microsoft Windows 10 Pro NL
|
Niet verkrijgbaar | |
|
Microsoft Windows 11 Home DVD (NL)
|
€ 128,8516 winkels |
|
|
Microsoft Windows 11 Pro (NL)
|
€ 159,0015 winkels |
