성능 확장 DLL에 대한 액세스 제한

Windows Server 2003부터 성능 DLL 및 성능 데이터 도우미(PDH) API 함수의 개발자와 사용자가 성능 모니터 사용자 그룹 및 성능 로그 사용자 그룹을 사용할 수 있었습니다. 이러한 성능 보안 그룹은 시스템 관리자가 성능 DLL에서 노출하는 정보에 대한 액세스를 특정 사용자 목록으로 제한하는 데 사용하기 위한 것입니다.

성능 모니터 사용자 그룹은 카운터 데이터를 보고 성능 로그 및 경고 서비스를 사용하여 카운터 데이터를 기록하지 않는 사용자를 포함하기 위한 것입니다. 성능 로그 사용자 그룹에는 성능 로그 및 경고 서비스를 사용하여 로컬 또는 원격 서버의 카운터를 기록할 수 있는 권한이 있는 사용자가 포함되어야 합니다. 이 그룹의 권한에는 로컬 또는 원격 시스템에서 로그 파일을 만들고, 경고 서비스를 사용하고, 서비스의 일부로 프로그램을 실행하는 것도 포함됩니다.

이러한 성능 보안 그룹은 그 자체로 액세스 제한 메커니즘이 아닙니다. 이 작업을 수행하려면 이러한 그룹을 Windows 개체 액세스 제어 모델과 함께 사용해야 합니다.

대부분의 애플리케이션은 IPC 메커니즘(일반적으로 공유 메모리)을 통해 성능 DLL과 통신합니다. 따라서 성능 보안 그룹의 멤버를 공유 메모리 개체의 보안 설명자에 추가하여 DLL에 대한 액세스를 보안 그룹의 해당 멤버로 제한할 수 있습니다. 이 작업을 수행하는 경우 로그 파일 및 폴더와 같은 카운터 데이터를 제공하기 위해 성능 DLL이 액세스하는 시스템 개체의 보안 설명자에 그룹 멤버를 추가해야 합니다. 개체 보안 설명자에 ACL을 추가하는 방법에 대한 자세한 내용은 개체의 ACL 수정을 참조하세요.

IPC 시스템 개체의 보안 설명자의 ACL 정보를 수정하는 데 사용할 수 있는 또 다른 방법은 SDDL(보안 설명자 정의 언어)을 사용하여 성능 보안 그룹 목록의 멤버를 지정하고 ConvertStringSecurityDescriptorToSecurityDescriptor 를 호출하여 보안 설명자를 만드는 것입니다. 그런 다음 이 보안 설명자가 IPC 시스템 개체에 연결됩니다. 다음은 성능 모니터 사용자 그룹, MU 및 성능 로그 사용자 그룹 LU를 포함하는 SDDL 문자열을 보여 줍니다.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)