Создание аудита
Требования безопасности уровня C2 указывают, что системные администраторы должны иметь возможность аудита событий, связанных с безопасностью, и доступ к этим данным аудита должен быть ограничен авторизованными администраторами. API Windows предоставляет функции, позволяющие администратору отслеживать события, связанные с безопасностью.
Дескриптор безопасности для защищаемого объекта может иметь список системного управления доступом (SACL). A SACL содержит записи управления доступом (ACEs), указывающие типы попыток доступа, которые создают отчеты аудита. Каждый ACE определяет доверенное лицо, набор прав доступа и набор флагов, указывающих, генерирует ли система сообщения аудита для неудачных попыток доступа, успешных попыток доступа или обоих.
Система записывает сообщения аудита в журнал событий безопасности. Сведения о доступе к записям в журнале событий безопасности см. в журнала событий.
Чтобы прочитать или записать SACL объекта, поток должен сначала включить привилегию SE_SECURITY_NAME. Дополнительные сведения см. в разделе права доступа SACL.
API Windows также обеспечивает поддержку серверных приложений для создания сообщений аудита при попытке клиента получить доступ к частному объекту. Дополнительные сведения см. в разделе Аудит доступа к частным объектам.