檔案和目錄的訪問控制 4 審核規則

到目前為止，只是討論了訪問控制規則，它們構成了物件的

dacl

。dacl

可以由物件的所有者任意更改，還可以由所有者已經給予其更改

dacl

許可權的任何人更改。物件的安全描述符包含另乙個規則列表，稱為系統訪問控制列表（

system access control list

，sacl

），該列表將控制系統對物件執行哪個型別的審核。

審核是一種具有安全敏感性的操作。在

windows

中，審核只能由本地安全機構（

local security authority

，lsa

）生成，因為

lsa是唯一允許向安全事件日誌（這裡儲存了審核）中寫入項的元件。安全審核是一項非常嚴謹的業務，可以在計算機法庭中根據事實分析誰做了什麼事情，以及誰試圖在系統中做什麼事情。很多組織都長年保留它們的審核日誌。不用說，規定對哪些專案進行審核的設定通常都受到嚴格的管理控制。如果執行該節中的**並且遇到

unauthorizedacces***ception

訊息，可能是因為執行時所在的賬戶不包含

「安全特權」（

security privilege

）。為了能夠修改甚至分析

sacl

，必須由本地計算機策略向你的賬戶分配這一強大的特權。儘管有這些可怕的警告，但在具有必要的特權之後，讀取和操作物件的審核設定在所有方面都類似於修改訪問控制設定。**清單

7-13

是乙個操作審核規則的簡單示例。

**清單

7-13

操作審核規則

using(filestream file = new filestream(

@"m:\temp\sample.txt",filemode.open, fileaccess.readwrite))

與之前的**示例不同的是，本示例使用乙個新的

filesystemauditrule

類。該類表示基礎訪問控制項（

ace）的抽象，該訪問控制項指定使用者賬戶、要提供的訪問的型別（讀、寫等），以及是否要執行審核。

此類還可以指定如何從物件繼承審核規則以及將審核規則傳播到物件。

若要在microsoft windows nt

上允許檔案或目錄審核，必須在自己的計算機上啟用

audit access security

策略。預設情況下，該策略設定為

no auditing。

啟用audit accesssecurity

策略的步驟如下：

步驟 1

開啟

local security settings microsoft

管理控制台

(mmc)

管理單元，定位於

administrative tools

資料夾中。

步驟 2

展開

local policies

資料夾，左擊

audit policy

資料夾。

步驟 3

在該

mmc

管理單元的右窗格上雙擊

audit object access

項，或右擊並選擇屬性選項以顯示

audit object access properties dialog。

步驟 4

選中

success

或failure

框以記錄成功或失敗。

注意

使用者賬戶的審核規則需要同一使用者賬戶的對應訪問規則。

如**清單

7-13

所示，需要使用

filesystemauditrule

類建立新的審核規則，然後使用

filesecurity

或directorysecurity

類可持久儲存此規則。

審核設定被表示為審核規則。可以指定你想要審核的安全主體（使用者或組）的名稱、感興趣的訪問許可權型別（例如讀取、寫入等）以及你是希望在授予、拒絕訪問許可權還是在執行這兩種操作時生成審核。例如，在**清單

7-13

中，每當全職雇員被拒絕對某個檔案或給定父目錄下的目錄進行寫入訪問時，系統都將生成審核。繼承標誌、傳播標誌和保護設定對審核規則的作用方式與它們對訪問控制規則的作用方式完全相同。

---------------注：本文部分內容改編自《.net 安全揭秘》

檔案和目錄的訪問控制 4 審核規則

檔案和目錄的訪問控制 2 新增訪問控制

控制對檔案的訪問

控制對檔案的訪問

檔案和目錄的訪問控制 4 審核規則

檔案和目錄的訪問控制 2 新增訪問控制

控制對檔案的訪問

控制對檔案的訪問

相關推薦