Generierung von Überwachungsdatensätzen

Sicherheitsanforderungen auf C2-Ebene legen fest, dass Systemadministratoren in der Lage sein müssen, sicherheitsbezogene Ereignisse zu überwachen, und dass der Zugriff auf diese Überwachungsdaten auf autorisierte Administratoren beschränkt sein muss. Die Windows-API bietet Funktionen, die es einem Administrator ermöglichen, sicherheitsbezogene Ereignisse zu überwachen.

Die Sicherheitsbeschreibung für ein sicherungsfähiges Objekt kann über eine Systemzugriffssteuerungsliste (System Access Control List , SACL) verfügen. Eine SACL enthält Zugriffssteuerungseinträge (ACEs), die die Arten von Zugriffsversuchen angeben, die Überwachungsberichte generieren. Jeder ACE identifiziert einen Treuhänder, eine Reihe von Zugriffsrechten und eine Reihe von Flags, die angeben, ob das System Überwachungsmeldungen für fehlgeschlagene Zugriffsversuche, erfolgreiche Zugriffsversuche oder beides generiert.

Das System schreibt Überwachungsmeldungen in das Sicherheitsereignisprotokoll. Informationen zum Zugriff auf die Datensätze in einem Sicherheitsereignisprotokoll finden Sie unter Ereignisprotokollierung.

Um die SACL eines Objekts zu lesen oder zu schreiben, muss ein Thread zuerst die berechtigung SE_SECURITY_NAME aktivieren. Weitere Informationen finden Sie unter SACL-Zugriffsberechtigung.

Die Windows-API bietet auch Unterstützung für Serveranwendungen, um Überwachungsmeldungen zu generieren, wenn ein Client versucht, auf ein privates Objekt zuzugreifen. Weitere Informationen finden Sie unter Überwachen des Zugriffs auf private Objekte.