到目前為止,只是討論了訪問控制規則,它們構成了對象的DACL。DACL可以由對象的所有者任意更改,還可以由所有者已經給予其更改DACL權限的任何人更改。對象的安全描述符包含另一個規則列表,稱為系統訪問控制列表(System Access Control List,SACL),該列表將控制系統對對象執行哪個類型的審核。
審核是一種具有安全敏感性的操作。在Windows中,審核只能由本地安全機構(Local Security Authority,LSA)生成,因為LSA是唯一允許向安全事件日志(這裡存儲了審核)中寫入項的組件。安全審核是一項非常嚴謹的業務,可以在計算機法庭中根據事實分析誰做了什麼事情,以及誰試圖在系統中做什麼事情。很多組織都長年保留它們的審核日志。不用說,規定對哪些項目進行審核的設置通常都受到嚴格的管理控制。如果執行該節中的代碼並且遇到UnauthorizedAccessException消息,可能是因為運行時所在的賬戶不包含“安全特權”(Security Privilege)。為了能夠修改甚至分析SACL,必須由本地計算機策略向你的賬戶分配這一強大的特權。盡管有這些可怕的警告,但在具有必要的特權之後,讀取和操作對象的審核設置在所有方面都類似於修改訪問控制設置。代碼清單7-13是一個操作審核規則的簡單示例。
代碼清單7-13 操作審核規則
using(FileStream file = new FileStream(
@"M:\temp\sample.txt",FileMode.Open, FileAccess.ReadWrite))
{
FileSecurity security = file.GetAccessControl();
FileSystemAuditRule rule = new FileSystemAuditRule(
new NTAccount( @"FABRIKAM\Full_Time_Employees"),
FileSystemRights.Write, AuditFlags.Failure);
security.AddAuditRule(rule);
file.SetAccessControl(security)
}
與之前的代碼示例不同的是,本示例使用一個新的FileSystemAuditRule類。該類表示基礎訪問控制項(ACE)的抽象,該訪問控制項指定用戶賬戶、要提供的訪問的類型(讀、寫等),以及是否要執行審核。此類還可以指定如何從對象繼承審核規則以及將審核規則傳播到對象。
若要在 Microsoft Windows NT 上允許文件或目錄審核,必須在自己的計算機上啟用Audit Access Security策略。默認情況下,該策略設置為No Auditing。
啟用 Audit AccessSecurity 策略的步驟如下:
步驟 1 打開 Local Security Settings Microsoft 管理控制台 (MMC) 管理單元,定位於 Administrative Tools 文件夾中。
步驟 2 展開 Local Policies 文件夾,左擊 Audit Policy 文件夾。
步驟 3 在該 MMC 管理單元的右窗格上雙擊 Audit object access 項,或右擊並選擇屬性選項以顯示 Audit object access Properties dialog。
步驟 4 選中Success 或 Failure 框以記錄成功或失敗。
注意 用戶賬戶的審核規則需要同一用戶賬戶的對應訪問規則。
如代碼清單7-13所示,需要使用FileSystemAuditRule類創建新的審核規則,然後使用FileSecurity或DirectorySecurity類可持久保存此規則。
審核設置被表示為審核規則。可以指定你想要審核的安全主體(用戶或組)的名稱、感興趣的訪問權限類型(例如讀取、寫入等)以及你是希望在授予、拒絕訪問權限還是在執行這兩種操作時生成審核。例如,在代碼清單7-13中,每當全職雇員被拒絕對某個文件或給定父目錄下的目錄進行寫入訪問時,系統都將生成審核。繼承標志、傳播標志和保護設置對審核規則的作用方式與它們對訪問控制規則的作用方式完全相同。
---------------注:本文部分內容改編自《.NET 安全揭秘》
作者:玄魂
出處:http://www.cnblogs.com/xuanhun/
查看本欄目
