Partilhar via

Restringindo o acesso a DLLs de extensão de desempenho

  • Artigo

A partir do Windows Server 2003, o grupo usuários Monitor de Desempenho e o grupo Usuários de Log de Desempenho foram disponibilizados para desenvolvedores e usuários de DLLs de desempenho e as funções de API PDH (Performance Data Helper). Esses grupos de segurança de desempenho destinam-se a serem usados pelos administradores do sistema para restringir o acesso às informações expostas por DLLs de desempenho a uma lista específica de usuários.

O grupo Monitor de Desempenho Usuários destina-se a incluir usuários que exibem dados de contador e não registram dados de contador usando o serviço Logs de Desempenho e Alertas. O grupo Usuários do Log de Desempenho deve incluir usuários que têm permissão para usar o serviço Logs de Desempenho e Alerta para registrar contadores no servidor local ou remoto. Os privilégios desse grupo também incluem a criação de arquivos de log em sistemas locais ou remotos, o uso do serviço de alertas e a execução de programas como parte do serviço.

Observe que esses grupos de segurança de desempenho não são por si só um mecanismo de restrição de acesso. Você deve usar esses grupos com o modelo de controle de acesso de objeto do Windows para fazer isso.

A maioria dos aplicativos se comunica com a DLL de desempenho por meio de um mecanismo de IPC, normalmente memória compartilhada. Portanto, você pode adicionar os membros de um grupo de segurança de desempenho ao descritor de segurança do objeto de memória compartilhada para restringir o acesso à DLL a esses membros do grupo de segurança. Ao fazer isso, você também deve adicionar os membros do grupo ao descritor de segurança dos objetos do sistema que a DLL de desempenho acessa para fornecer dados de contador, por exemplo, arquivos de log e pastas. Para obter informações mais detalhadas sobre como adicionar ACLs a descritores de segurança de objeto, consulte Modificar a ACL de um objeto.

Outro método que você pode usar para modificar as informações de ACL do descritor de segurança de um objeto do sistema IPC é especificar os membros da lista de grupos de segurança de desempenho com a SDDL (Linguagem de Definição de Descritor de Segurança) e chamar ConvertStringSecurityDescriptorToSecurityDescriptor para criar o descritor de segurança. Esse descritor de segurança é anexado ao objeto do sistema IPC. A seguir, mostra uma cadeia de caracteres SDDL que inclui o grupo usuários Monitor de Desempenho, MU e o grupo Usuários do Log de Desempenho, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)