Partilhar via


Auditoria em sistemas de arquivos

Um dos princípios de um bom design de segurança é admitir que não existe um sistema seguro. Os desenvolvedores sabem que certas pessoas tentam contornar qualquer segurança presente. Essa evasão pode ser feita ativamente, por exemplo, por agentes mal-intencionados que investigam o subsistema de segurança para encontrar e explorar brechas. Ou pode ser acidental, por exemplo, substituir ou excluir inadvertidamente dados críticos. Seja qual for a causa, é imperativo construir um sistema que possa detectar tais violações.

O sistema de auditoria no Windows fornece um mecanismo para rastrear eventos de segurança específicos para que o log possa ser analisado posteriormente para executar a análise post-mortem de um sistema danificado ou comprometido. Esse mecanismo de auditoria envolve intimamente o sistema de arquivos porque o sistema de arquivos é responsável por manter o armazenamento persistente de dados do sistema. Para muitos sistemas, as necessidades de segurança são menores e, nesses casos, a auditoria é desativada. Os sistemas de arquivos devem ser implementados de forma que possam atender às preocupações de ambos os ambientes.

As principais rotinas de auditoria incluem:

  • SeAuditingFileEvents, que determina se a auditoria de arquivos está habilitada no sistema. Essa verificação de política global determina se uma verificação de auditoria completa deve ser feita. Foi introduzido para otimizar as operações do sistema de segurança.

  • SeAuditingFileOrGlobalEvents, que determina se a auditoria de arquivo ou global está habilitada no sistema. Essa verificação de política global determina se uma verificação de auditoria completa deve ser feita em eventos de arquivo ou eventos globais. Foi introduzido para otimizar as operações do sistema de segurança.

  • SeOpenObjectAuditAlarm, que executa as operações de auditoria primárias no sistema Windows. Ele audita uma tentativa de abrir um objeto. Ele não audita se o acesso ao objeto foi bem-sucedido ou malsucedido.

Não há exigência de auditoria. Por exemplo, os sistemas de arquivos de exemplo FastFAT e CDFS não implementam auditoria. No entanto, do ponto de vista da segurança, a auditoria é importante porque permite que os administradores monitorem o comportamento de segurança do sistema.