Génération de l’audit
Les exigences de sécurité de niveau C2 spécifient que les administrateurs système doivent être en mesure d’auditer les événements liés à la sécurité et que l’accès à ces données d’audit doit être limité aux administrateurs autorisés. l’API Windows fournit des fonctions permettant à un administrateur de surveiller les événements liés à la sécurité.
Le descripteur de sécurité d’un objet sécurisable peut avoir une liste de contrôle d’accès système (SACL). Une liste SACL contient des entrées de contrôle d’accès (ACE) qui spécifient les types de tentatives d’accès qui génèrent des rapports d’audit. Chaque ACE identifie un tiers de confiance, un ensemble de droits d’accès et un ensemble d’indicateurs qui indiquent si le système génère des messages d’audit pour les échecs de tentative d’accès, les tentatives d’accès réussies ou les deux.
Le système écrit des messages d’audit dans le journal des événements de sécurité. Pour plus d’informations sur l’accès aux enregistrements dans un journal des événements de sécurité, consultez journalisation des événements.
pour lire ou écrire la liste SACL d’un objet, un thread doit tout d’abord activer le _ privilège SE nom de sécurité _ . Pour plus d’informations, consultez droit d’accès SACL.
l’API Windows fournit également une prise en charge pour les applications serveur afin de générer des messages d’audit lorsqu’un client essaie d’accéder à un objet privé. Pour plus d’informations, consultez audit de l’accès aux objets privés.