Génération d’audit

Les exigences de sécurité au niveau C2 spécifient que les administrateurs système doivent être en mesure d’auditer les événements liés à la sécurité et que l’accès à ces données d’audit doit être limité aux administrateurs autorisés. L’API Windows fournit des fonctions permettant à un administrateur de surveiller les événements liés à la sécurité.

Le descripteur de sécurité d’un objet sécurisable peut avoir une liste de contrôle d’accès système (SACL). Une liste de contrôle d’accès contient entrées de contrôle d’accès qui spécifient les types de tentatives d’accès qui génèrent des rapports d’audit. Chaque ACE identifie un administrateur, un ensemble de droits d’accès et un ensemble d’indicateurs qui indiquent si le système génère des messages d’audit pour les tentatives d’accès ayant échoué, les tentatives d’accès réussies ou les deux.

Le système écrit des messages d’audit dans le journal des événements de sécurité. Pour plus d’informations sur l’accès aux enregistrements dans un journal des événements de sécurité, consultez journalisation des événements.

Pour lire ou écrire la liste de contrôle d’accès partagé d’un objet, un thread doit d’abord activer le privilège SE_SECURITY_NAME. Pour plus d’informations, consultez accès SACL Right.

L’API Windows fournit également la prise en charge des applications serveur pour générer des messages d’audit lorsqu’un client tente d’accéder à un objet privé. Pour plus d’informations, consultez Audit de l’accès aux objets privés.