Создание аудита

Требования безопасности уровня C2 указывают, что системные администраторы должны иметь возможность аудита событий, связанных с безопасностью, и доступ к этим данным аудита должен быть ограничен авторизованными администраторами. API Windows предоставляет функции, позволяющие администратору отслеживать события, связанные с безопасностью.

Дескриптор безопасности для защищаемого объекта может иметь список системного управления доступом (SACL). A SACL содержит записи управления доступом (ACEs), указывающие типы попыток доступа, которые создают отчеты аудита. Каждый ACE определяет доверенное лицо, набор прав доступа и набор флагов, указывающих, генерирует ли система сообщения аудита для неудачных попыток доступа, успешных попыток доступа или обоих.

Система записывает сообщения аудита в журнал событий безопасности. Сведения о доступе к записям в журнале событий безопасности см. в журнала событий.

Чтобы прочитать или записать SACL объекта, поток должен сначала включить привилегию SE_SECURITY_NAME. Дополнительные сведения см. в разделе права доступа SACL.

API Windows также обеспечивает поддержку серверных приложений для создания сообщений аудита при попытке клиента получить доступ к частному объекту. Дополнительные сведения см. в разделе Аудит доступа к частным объектам.