Защита журналов событий
Windows имеет очень мощные возможности протоколирования. К сожалению, по умолчанию журнал событий не защищен от несанкционированного доступа или изменения. Несмотря на то что события просматриваются с помощью Event Viewer, журнал событий представляет собой обычный файл, такой же, как и остальные. Для их защиты достаточно лишь найти эти файлы и применить к ним соответствующие списки ACL. Если только расположение файлов не было изменено с помощью реестра, то они должны находиться в каталоге %SystemRoot%\system32\config.
С журналом приложения, безопасности и системным протоколом сопоставлены файлы AppEvent.Evt, SecEvent.Evt и SysEvent.Evt соответственно. Для ограничения доступа к ним только с помощью учетной записи администратора примените к ним ACL. Это можно сделать с помощью диалогового окна свойств файла. Перейдя на вкладку Безопасность (Security), удалите на ней всех пользователей и группы, за исключением Administrators и SYSTEM.