성능 확장 DLL에 대한 액세스 제한

Windows Server 2003부터 성능 모니터 사용자 그룹 및 성능 로그 사용자 그룹을 성능 DLL 및 성능 데이터 도우미(PDH) API 함수의 개발자와 사용자가 사용할 수 있게 했습니다. 이러한 성능 보안 그룹은 시스템 관리자가 성능 DLL에 의해 노출되는 정보에 대한 액세스를 특정 사용자 목록으로 제한하는 데 사용하기 위한 것입니다.

성능 모니터 사용자 그룹은 카운터 데이터를 보고 성능 로그 및 경고 서비스를 사용하여 카운터 데이터를 기록하지 않는 사용자를 포함하기 위한 것입니다. 성능 로그 사용자 그룹에는 성능 로그 및 경고 서비스를 사용하여 로컬 또는 원격 서버의 카운터를 기록할 수 있는 권한이 있는 사용자가 포함되어야 합니다. 이 그룹의 권한에는 로컬 또는 원격 시스템에서 로그 파일 만들기, 경고 서비스 사용, 서비스의 일부로 프로그램 실행이 포함됩니다.

이러한 성능 보안 그룹은 자체 액세스 제한 메커니즘이 아닙니다. 이 작업을 수행하려면 Windows 개체 액세스 제어 모델에서 이러한 그룹을 사용해야 합니다.

대부분의 애플리케이션은 IPC 메커니즘(일반적으로 공유 메모리)을 통해 성능 DLL과 통신합니다. 따라서 성능 보안 그룹의 멤버를 공유 메모리 개체의 보안 설명자에 추가하여 DLL에 대한 액세스를 보안 그룹의 해당 멤버로 제한할 수 있습니다. 이 작업을 수행하는 경우 로그 파일 및 폴더와 같은 카운터 데이터를 제공하기 위해 성능 DLL이 액세스하는 시스템 개체의 보안 설명자에 그룹 멤버를 추가해야 합니다. 개체 보안 설명자에 ACL을 추가하는 방법에 대한 자세한 내용은 개체의 ACL수정을 참조하세요.

IPC 시스템 개체의 보안 설명자의 ACL 정보를 수정하는 데 사용할 수 있는 또 다른 방법은 SDDL(Security Descriptor Definition Language)을 사용하여 성능 보안 그룹 목록의 멤버를 지정하고 ConvertStringSecurityDescriptorToSecurityDescriptor 호출하여 보안 설명자를 만드는 것입니다. 이 보안 설명자는 IPC 시스템 개체에 연결됩니다. 다음은 성능 모니터 사용자 그룹, MU 및 성능 로그 사용자 그룹 LU를 포함하는 SDDL 문자열을 보여 줍니다.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)