Controlegeneratie

Beveiligingsvereisten op C2-niveau geven aan dat systeembeheerders beveiligingsgebeurtenissen moeten kunnen controleren en dat toegang tot deze controlegegevens moet worden beperkt tot geautoriseerde beheerders. De Windows-API biedt functies waarmee een beheerder beveiligingsgebeurtenissen kan bewaken.

De beveiligingsdescriptor voor een beveiligbaar object kan een systeemtoegangsbeheerlijst hebben (SACL). Een SACL bevat vermeldingen voor toegangsbeheer (ACL's) die de typen toegangspogingen opgeven die controlerapporten genereren. Elke ACE identificeert een beheerder, een set toegangsrechten en een set vlaggen die aangeven of het systeem controleberichten genereert voor mislukte toegangspogingen, geslaagde toegangspogingen of beide.

Het systeem schrijft controleberichten naar het beveiligingsgebeurtenislogboek. Zie Event Loggingvoor informatie over het openen van de records in een beveiligingslogboek.

Als u sacl van een object wilt lezen of schrijven, moet een thread eerst de bevoegdheid SE_SECURITY_NAME inschakelen. Zie SACL Access Rightvoor meer informatie.

De Windows-API biedt ook ondersteuning voor servertoepassingen voor het genereren van controleberichten wanneer een client probeert toegang te krijgen tot een privéobject. Zie Toegang tot privéobjecten controlerenvoor meer informatie.