SACL 由訪問控制項(xiàng) (ACE) 組成。每個(gè) ACE 包含三部分信息：

• 要審核的安全主要對(duì)象。

• 要審核的特定訪問類型，稱為訪問掩碼。

• 一種表明是審核失敗訪問、成功訪問還是兩者兼有的標(biāo)志。


假如要在安全日志中顯示事件，必須首先啟用“對(duì)象訪問審核”，然后為要審核的每個(gè)對(duì)象定義 SACL。

Windows 2000 中的審核是在打開一個(gè)到對(duì)象的句柄時(shí)生成的。Windows 2000 使用一個(gè)內(nèi)核模式的安全子系統(tǒng)，這種系統(tǒng)只答應(yīng)程序通過內(nèi)核訪問對(duì)象。這會(huì)防止程序嘗試?yán)@過安全系統(tǒng)。因?yàn)閮?nèi)核內(nèi)存空間是與用戶模式程序相隔離的，所以程序是通過一個(gè)稱為句柄的數(shù)據(jù)結(jié)構(gòu)引用對(duì)象的。下面是一個(gè)典型的訪問嘗試：

1.
用戶要求程序訪問某個(gè)對(duì)象（例如，文件/打開）。

2.
該程序從系統(tǒng)請(qǐng)求一個(gè)句柄，指定需要哪種類型的訪問（讀、寫等）。

3.
安全子系統(tǒng)將請(qǐng)求對(duì)象的自由訪問控制列表 (DACL) 與該用戶的令牌相比較，在 DACL 中查找與該用戶或用戶所在組相匹配的項(xiàng)，以及對(duì)于請(qǐng)求程序有訪問權(quán)限的項(xiàng)。

4.
系統(tǒng)將所請(qǐng)求對(duì)象的 SACL 與該用戶的令牌相比較，在 SACL 中查找與該程序返回的有效權(quán)限相匹配的項(xiàng)，或與該程序請(qǐng)求的權(quán)限相匹配的項(xiàng)。假如匹配的失敗審核 ACE 與一個(gè)已請(qǐng)求但未授予的訪問相匹配，則生成一個(gè)失敗審核事件。假如匹配的成功審核 ACE 與一個(gè)已授予的訪問相匹配，則生成一個(gè)成功審核事件。

5.
假如授予任何訪問，系統(tǒng)都會(huì)向該程序返回一個(gè)句柄，然后該程序會(huì)使用該句柄訪問該對(duì)象。


要注重的重要一點(diǎn)是，當(dāng)發(fā)生審核并生成事件時(shí)，尚未對(duì)該對(duì)象發(fā)生任何操作。這對(duì)于解釋審核事件至關(guān)重要。寫入審核是在文件被寫入之前生成的，讀取審核則在文件被讀取之前生成。

與所有審核一樣，務(wù)必采取一個(gè)針對(duì)目標(biāo)的方式來審核對(duì)象訪問。在審核計(jì)劃中，應(yīng)決定必須審核的對(duì)象類型，然后確定每種類型的審核對(duì)象，希望監(jiān)視哪些類型的訪問嘗試（成功、失敗，還是兩者兼有）。審核的范圍過寬會(huì)對(duì)系統(tǒng)性能產(chǎn)生明顯的影響，并會(huì)使收集的數(shù)據(jù)過多，遠(yuǎn)遠(yuǎn)超過必要或有用的程度。

通常情況下，您希望審核對(duì)所選擇對(duì)象的所有訪問，其中包括來自非信任帳戶的訪問。為此，請(qǐng)?jiān)趯徍藢?duì)象的 SACL 中添加“Everyone”組）。您應(yīng)了解，假如按照這種方式審核成功的對(duì)象訪問，可能會(huì)在安全日志中產(chǎn)生非常多的審核項(xiàng)。然而，假如要對(duì)重要文件的刪除進(jìn)行調(diào)查，則必須檢查成功審核事件，以確定哪個(gè)用戶帳戶刪除了該文件。

“成員服務(wù)器和域控制器基準(zhǔn)策略”的設(shè)置是既審核成功對(duì)象訪問也審核失敗事件。但是，這些對(duì)象本身不會(huì)設(shè)置任何 SACL，需要根據(jù)環(huán)境的需要設(shè)置這些內(nèi)容。SACL 可以直接在對(duì)象上定義，也可以通過組策略定義。假如要審核的對(duì)象存在于多個(gè)計(jì)算機(jī)上，則應(yīng)在組策略中定義這些 SACL。

審核對(duì)象訪問會(huì)導(dǎo)致安全日志顯示下列事件。

表 4：事件日志中的對(duì)象訪問事件

事件 ID 說明
560
授予現(xiàn)有對(duì)象訪問權(quán)限。

562
對(duì)象句柄關(guān)閉。

563
為刪除對(duì)象而打開對(duì)象。（這是文件系統(tǒng)在指定了 FILE_DELETE_ON_CLOSE 標(biāo)志時(shí)所使用的。）

564
刪除了一個(gè)受保護(hù)的對(duì)象。

565
授予現(xiàn)有對(duì)象類型訪問權(quán)限。


假如要查找特定的對(duì)象訪問事件，主要需研究事件 ID 為 560 的事件。該事件具體信息中有一些有用的信息，請(qǐng)搜索該事件的具體信息，找出正在搜索的特定事件。下表顯示了一些可能要執(zhí)行的操作，以及如何執(zhí)行這些操作。

表 5：如何執(zhí)行對(duì)象訪問事件 560 的主要審核操作

審核操作 如何完成
查找特定的文件、文件夾或?qū)ο?
在事件 560 的具體信息中，搜索要復(fù)查其上操作的文件或文件夾的完整路徑。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板