Aktivera skyddad händelseloggning

Med den här principinställningen kan du konfigurera skyddad händelseloggning.

Om du aktiverar den här principinställningen kommer komponenter som stöder den att använda certifikatet du tillhandahåller för att kryptera potentiellt känsliga händelseloggdata innan de skrivs till händelseloggen. Data krypteras med CMS-standarden (Cryptographic Message Syntax) och den offentliga nyckel du tillhandahåller. Du kan använda PowerShell-cmdleten Unprotect-CmsMessage om du vill dekryptera dessa meddelanden, men det kräver att du har tillgång till den privata nyckel som motsvarar den offentliga nyckel de krypterades med.

Om du inaktiverar eller låter bli att konfigurera principinställningen krypteras inte händelseloggmeddelanden innan de skrivs till händelseloggen.

Provide an encryption certificate to be used by Protected Event Logging. You may provide either: - The content of a base-64 encoded X.509 certificate - The thumbprint of a certificate that can be found in the Local Machine certificate store (usually deployed by PKI infrastructure) - The full path to a certificate (can be local, or a remote share) - The path to a directory containing a certificate or certificates (can be local, or a remote share) - The subject name of a certificate that can be found in the Local Machine certificate store (usually deployed by PKI infrastructure) The resulting certificate must have 'Document Encryption' as an enhanced key usage (1.3.6.1.4.1.311.80.1), as well as either Data Encipherment or Key Encipherment key usages enabled.

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\Windows\EventLog\ProtectedEventLogging
Value Name	EncryptionCertificate
Value Type	REG_MULTI_SZ
Default Value