Condividi tramite

Controllo nei file system

  • Articolo

Uno dei principi di buona progettazione della sicurezza è ammettere che non c'è niente di simile a un sistema sicuro. Gli sviluppatori sanno che alcune persone cercano di aggirare qualsiasi sicurezza sia presente. Questa aggirare potrebbe essere eseguita attivamente, ad esempio, da attori malintenzionati che provano il sottosistema di sicurezza per trovare e sfruttare i fori. Oppure potrebbe essere accidentale, ad esempio, sovrascrivere o eliminare dati critici inavvertitamente. Qualunque sia la causa, è fondamentale costruire un sistema in grado di rilevare tali violazioni.

Il sistema di controllo in Windows fornisce un meccanismo per tenere traccia di eventi di sicurezza specifici in modo che il log possa essere analizzato in un secondo momento per eseguire l'analisi post-mortem di un sistema danneggiato o compromesso. Questo meccanismo di controllo implica in modo intimo il file system perché il file system è responsabile della gestione dell'archiviazione permanente dei dati di sistema. Per molti sistemi, le esigenze di sicurezza sono inferiori e, in questi casi, il controllo è disabilitato. I file system devono essere implementati in modo da poter affrontare le preoccupazioni di entrambi gli ambienti.

Le routine chiave per il controllo includono:

  • SeAuditingFileEvents, che determina se il controllo dei file è abilitato nel sistema. Questo controllo dei criteri globali determina se deve essere eseguito un controllo di controllo completo. È stato introdotto per ottimizzare le operazioni del sistema di sicurezza.

  • SeAuditingFileOrGlobalEvents, che determina se nel sistema è abilitato il controllo file o globale. Questo controllo dei criteri globali determina se è necessario eseguire un controllo completo sugli eventi di file o sugli eventi globali. È stato introdotto per ottimizzare le operazioni del sistema di sicurezza.

  • SeOpenObjectAuditAlarm, che esegue le operazioni di controllo primarie nel sistema Windows. Controlla un tentativo di aprire un oggetto. Non controlla se l'accesso all'oggetto ha avuto esito positivo o negativo.

Non c'è alcun requisito per il controllo. Ad esempio, i file system di esempio FastFAT e CDFS non implementano il controllo. Tuttavia, dal punto di vista della sicurezza, il controllo è importante perché consente agli amministratori di monitorare il comportamento di sicurezza del sistema.