文件系统中的审核

良好的安全设计原则之一是承认，没有安全系统之类的事情。 开发人员知道某些人试图规避存在的任何安全性。 例如，恶意执行组件探测安全子系统来查找和利用漏洞，可以积极进行这种规避。 或者，它可能是意外的，例如无意中覆盖或删除关键数据。 无论原因是什么，构建能够检测此类违规的系统至关重要。

Windows 中的审核系统提供了一种跟踪特定安全事件的机制，以便稍后可以分析日志，以便对损坏或受损的系统执行事后分析。 此审核机制非常涉及文件系统，因为文件系统负责维护系统数据的持久存储。 对于许多系统，安全需求较低，在这些情况下，会禁用审核。 文件系统必须以这样的方式实现，以便解决这两个环境的问题。

用于审核的关键例程包括：

• SeAuditingFileEvents，用于确定是否在系统上启用文件审核。 此全局策略检查确定是否应执行完整的审核检查。 引入了它来优化安全系统操作。

• SeAuditingFileOrGlobalEvents，用于确定是否在系统上启用了文件或全局审核。 此全局策略检查确定是否应对文件事件或全局事件执行完全审核检查。 引入了它来优化安全系统操作。

• SeOpenObjectAuditAlarm，用于在 Windows 系统中执行主要审核操作。 它会审核尝试打开对象。 它不会审核对对象的访问是成功还是失败。

无需审核。 例如， FastFAT 和 CDFS 示例文件系统 不实现审核。 但是，从安全角度来看，审核非常重要，因为它允许管理员监视系统的安全行为。