Compartir a través de

Restricción del acceso a los archivos DLL de extensión de rendimiento

  • Artículo

A partir de Windows Server 2003, el grupo usuarios de Monitor de rendimiento y el grupo Usuarios del registro de rendimiento estaban disponibles para desarrolladores y usuarios de archivos DLL de rendimiento y las funciones de API del asistente de datos de rendimiento (PDH). Estos grupos de seguridad de rendimiento están diseñados para que los administradores del sistema los usen al restringir el acceso a la información expuesta por los archivos DLL de rendimiento a una lista específica de usuarios.

El grupo usuarios de Monitor de rendimiento está pensado para incluir usuarios que ven los datos del contador y no registran los datos del contador mediante el servicio Registros de rendimiento y alertas. El grupo Usuarios del registro de rendimiento debe incluir usuarios que tengan permiso para usar los registros de rendimiento y el servicio de alertas para registrar contadores en el servidor local o remoto. Los privilegios de este grupo también incluyen la creación de archivos de registro en sistemas locales o remotos, mediante el servicio de alertas y la ejecución de programas como parte del servicio.

Tenga en cuenta que estos grupos de seguridad de rendimiento no son por sí mismos un mecanismo de restricción de acceso. Para ello, debe usar estos grupos con el modelo de control de acceso a objetos de Windows.

La mayoría de las aplicaciones se comunican con el archivo DLL de rendimiento a través de un mecanismo IPC, normalmente memoria compartida. Por lo tanto, puede agregar los miembros de un grupo de seguridad de rendimiento al descriptor de seguridad del objeto de memoria compartida para restringir el acceso al archivo DLL a los miembros del grupo de seguridad. Al hacerlo, también debe agregar los miembros del grupo al descriptor de seguridad de los objetos del sistema a los que accede el archivo DLL de rendimiento para proporcionar datos de contador, por ejemplo, archivos de registro y carpetas. Para obtener información más detallada sobre cómo agregar ACL a descriptores de seguridad de objetos, consulte Modificación de la ACL de un objeto.

Otro método que puede usar para modificar la información de ACL de un descriptor de seguridad del objeto del sistema IPC es especificar los miembros de la lista de grupos de seguridad de rendimiento con el Lenguaje de definición de descriptores de seguridad (SDDL) y llamar a ConvertStringSecurityDescriptor Para crear el descriptor de seguridad. A continuación, este descriptor de seguridad se adjunta al objeto del sistema IPC. A continuación se muestra una cadena SDDL que incluye el grupo Usuarios de Monitor de rendimiento, MU y el grupo Usuarios del registro de rendimiento, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)