Generierung überwachen

Sicherheitsanforderungen auf C2-Ebene geben an, dass Systemadministratoren sicherheitsrelevante Ereignisse überwachen können müssen und dass der Zugriff auf diese Überwachungsdaten auf autorisierte Administratoren beschränkt sein muss. Die Windows-API bietet Funktionen, mit denen ein Administrator sicherheitsrelevante Ereignisse überwachen kann.

Der Sicherheitsdeskriptor für ein sicherungsfähiges Objekt kann eine Systemzugriffssteuerungsliste (SACL) aufweisen. Eine SACL enthält Zugriffssteuerungseinträge (ACEs), die die Typen von Zugriffsversuchen angeben, die Überwachungsberichte generieren. Jede ACE identifiziert einen Trustee, eine Reihe von Zugriffsrechten und eine Reihe von Flags, die angeben, ob das System Überwachungsmeldungen für fehlgeschlagene Zugriffsversuche, erfolgreiche Zugriffsversuche oder beides generiert.

Das System schreibt Überwachungsmeldungen in das Sicherheitsereignisprotokoll. Informationen zum Zugreifen auf die Datensätze in einem Sicherheitsereignisprotokoll finden Sie unter Ereignisprotokollierung.

Um die SACL eines Objekts zu lesen oder zu schreiben, muss ein Thread zuerst die SE_SECURITY_NAME Berechtigung aktivieren. Weitere Informationen finden Sie unter SACL Access Right.

Die Windows-API bietet auch Unterstützung für Serveranwendungen zum Generieren von Überwachungsmeldungen, wenn ein Client versucht, auf ein privates Objekt zuzugreifen. Weitere Informationen finden Sie unter Überwachung des Zugriffs auf private Objekte.