Génération de l’audit

Les exigences de sécurité de niveau C2 spécifient que les administrateurs système doivent être en mesure d’auditer les événements liés à la sécurité et que l’accès à ces données d’audit doit être limité aux administrateurs autorisés. L’API Windows fournit des fonctions permettant à un administrateur de surveiller les événements liés à la sécurité.

Le descripteur de sécurité d’un objet sécurisable peut avoir une liste de contrôle d’accès système (SACL). Une liste SACL contient des entrées de contrôle d’accès qui spécifient les types de tentatives d’accès qui génèrent des rapports d’audit. Chaque ACE identifie un administrateur, un ensemble de droits d’accès et un ensemble d’indicateurs qui indiquent si le système génère des messages d’audit pour les tentatives d’accès ayant échoué, les tentatives d’accès réussies, ou les deux.

Le système écrit des messages d’audit dans le journal des événements de sécurité. Pour plus d’informations sur l’accès aux enregistrements dans un journal des événements de sécurité, consultez Journalisation des événements.

Pour lire ou écrire la SACL d’un objet, un thread doit d’abord activer le privilège SE_SECURITY_NAME. Pour plus d’informations, consultez Droit d’accès SACL.

L’API Windows prend également en charge les applications serveur pour générer des messages d’audit lorsqu’un client tente d’accéder à un objet privé. Pour plus d’informations, consultez Audit de l’accès aux objets privés.