SACL 由訪問控制項 (ACE) 組成。每個 ACE 包含三部分信息：

• 要審核的安全主要對象。

• 要審核的特定訪問類型，稱為訪問掩碼。

• 一種表明是審核失敗訪問、成功訪問還是兩者兼有的標(biāo)志。


假如要在安全日志中顯示事件，必須首先啟用“對象訪問審核”，然后為要審核的每個對象定義 SACL。

Windows 2000 中的審核是在打開一個到對象的句柄時生成的。Windows 2000 使用一個內(nèi)核模式的安全子系統(tǒng)，這種系統(tǒng)只答應(yīng)程序通過內(nèi)核訪問對象。這會防止程序嘗試?yán)@過安全系統(tǒng)。因為內(nèi)核內(nèi)存空間是與用戶模式程序相隔離的，所以程序是通過一個稱為句柄的數(shù)據(jù)結(jié)構(gòu)引用對象的。下面是一個典型的訪問嘗試：

1.
用戶要求程序訪問某個對象（例如，文件/打開）。

2.
該程序從系統(tǒng)請求一個句柄，指定需要哪種類型的訪問（讀、寫等）。

3.
安全子系統(tǒng)將請求對象的自由訪問控制列表 (DACL) 與該用戶的令牌相比較，在 DACL 中查找與該用戶或用戶所在組相匹配的項，以及對于請求程序有訪問權(quán)限的項。

4.
系統(tǒng)將所請求對象的 SACL 與該用戶的令牌相比較，在 SACL 中查找與該程序返回的有效權(quán)限相匹配的項，或與該程序請求的權(quán)限相匹配的項。假如匹配的失敗審核 ACE 與一個已請求但未授予的訪問相匹配，則生成一個失敗審核事件。假如匹配的成功審核 ACE 與一個已授予的訪問相匹配，則生成一個成功審核事件。

5.
假如授予任何訪問，系統(tǒng)都會向該程序返回一個句柄，然后該程序會使用該句柄訪問該對象。


要注重的重要一點是，當(dāng)發(fā)生審核并生成事件時，尚未對該對象發(fā)生任何操作。這對于解釋審核事件至關(guān)重要。寫入審核是在文件被寫入之前生成的，讀取審核則在文件被讀取之前生成。

與所有審核一樣，務(wù)必采取一個針對目標(biāo)的方式來審核對象訪問。在審核計劃中，應(yīng)決定必須審核的對象類型，然后確定每種類型的審核對象，希望監(jiān)視哪些類型的訪問嘗試（成功、失敗，還是兩者兼有）。審核的范圍過寬會對系統(tǒng)性能產(chǎn)生明顯的影響，并會使收集的數(shù)據(jù)過多，遠(yuǎn)遠(yuǎn)超過必要或有用的程度。

通常情況下，您希望審核對所選擇對象的所有訪問，其中包括來自非信任帳戶的訪問。為此，請在審核對象的 SACL 中添加“Everyone”組）。您應(yīng)了解，假如按照這種方式審核成功的對象訪問，可能會在安全日志中產(chǎn)生非常多的審核項。然而，假如要對重要文件的刪除進(jìn)行調(diào)查，則必須檢查成功審核事件，以確定哪個用戶帳戶刪除了該文件。

“成員服務(wù)器和域控制器基準(zhǔn)策略”的設(shè)置是既審核成功對象訪問也審核失敗事件。但是，這些對象本身不會設(shè)置任何 SACL，需要根據(jù)環(huán)境的需要設(shè)置這些內(nèi)容。SACL 可以直接在對象上定義，也可以通過組策略定義。假如要審核的對象存在于多個計算機上，則應(yīng)在組策略中定義這些 SACL。

審核對象訪問會導(dǎo)致安全日志顯示下列事件。

表 4：事件日志中的對象訪問事件

事件 ID 說明
560
授予現(xiàn)有對象訪問權(quán)限。

562
對象句柄關(guān)閉。

563
為刪除對象而打開對象。（這是文件系統(tǒng)在指定了 FILE_DELETE_ON_CLOSE 標(biāo)志時所使用的。）

564
刪除了一個受保護(hù)的對象。

565
授予現(xiàn)有對象類型訪問權(quán)限。


假如要查找特定的對象訪問事件，主要需研究事件 ID 為 560 的事件。該事件具體信息中有一些有用的信息，請搜索該事件的具體信息，找出正在搜索的特定事件。下表顯示了一些可能要執(zhí)行的操作，以及如何執(zhí)行這些操作。

表 5：如何執(zhí)行對象訪問事件 560 的主要審核操作

審核操作 如何完成
查找特定的文件、文件夾或?qū)ο?
在事件 560 的具體信息中，搜索要復(fù)查其上操作的文件或文件夾的完整路徑。

查看更多 動易Cms教程  動易Cms模板