Generowanie inspekcji

Wymagania dotyczące zabezpieczeń na poziomie C2 określają, że administratorzy systemu muszą mieć możliwość inspekcji zdarzeń związanych z zabezpieczeniami, a dostęp do tych danych inspekcji musi być ograniczony do autoryzowanych administratorów. Interfejs API systemu Windows udostępnia funkcje umożliwiające administratorowi monitorowanie zdarzeń związanych z zabezpieczeniami.

Deskryptor zabezpieczeń zabezpieczanego obiektu może mieć listę kontroli dostępu systemu (SACL). SACL zawiera wpisy kontroli dostępu (ACL), które określają typy prób dostępu, które generują raporty inspekcji. Każda ACE identyfikuje powiernik, zestaw praw dostępu i zestaw flag wskazujący, czy system generuje komunikaty inspekcji dla nieudanych prób dostępu, pomyślnych prób dostępu, czy obu tych elementów.

System zapisuje komunikaty inspekcji w dzienniku zdarzeń zabezpieczeń. Aby uzyskać informacje na temat uzyskiwania dostępu do rekordów w dzienniku zdarzeń zabezpieczeń, zobacz rejestrowanie zdarzeń.

Aby odczytać lub zapisać sacL obiektu, wątek musi najpierw włączyć uprawnienia SE_SECURITY_NAME. Aby uzyskać więcej informacji, zobacz SACL Access Right.

Interfejs API systemu Windows zapewnia również obsługę aplikacji serwerowych do generowania komunikatów inspekcji, gdy klient próbuje uzyskać dostęp do obiektu prywatnego. Aby uzyskać więcej informacji, zobacz Inspekcja dostępu do obiektów prywatnych.