Geração de auditoria

Os requisitos de segurança de nível C2 especificam que os administradores de sistema devem ser capazes de auditar eventos relacionados à segurança e que o acesso a esses dados de auditoria deve ser limitado a administradores autorizados. A API do Windows fornece funções que permitem que um administrador monitore eventos relacionados à segurança.

O descritor de segurança para um objeto protegível pode ter uma SACL (lista de controle de acesso do sistema). Uma SACL contém entradas de controle de acesso (ACEs) que especificam os tipos de tentativas de acesso que geram relatórios de auditoria. Cada ACE identifica um administrador, um conjunto de direitos de acesso e um conjunto de sinalizadores que indicam se o sistema gera mensagens de auditoria para tentativas de acesso com falha, tentativas de acesso bem-sucedidas ou ambas.

O sistema grava mensagens de auditoria no log de eventos de segurança. Para obter informações sobre como acessar os registros em um log de eventos de segurança, consulte de log de eventos .

Para ler ou gravar a SACL de um objeto, um thread deve primeiro habilitar o privilégio de SE_SECURITY_NAME. Para obter mais informações, consulte SACL Access Right.

A API do Windows também fornece suporte para aplicativos de servidor para gerar mensagens de auditoria quando um cliente tenta acessar um objeto particular. Para obter mais informações, consulte Auditing Access To Private Objects.