Partager via

Restriction de l’accès aux DLL d’extension de performances

  • Article

À compter de Windows Server 2003, le groupe utilisateurs Analyseur de performances et le groupe Utilisateurs du journal des performances ont été mis à la disposition des développeurs et des utilisateurs de DLL de performances et des fonctions d’API d’assistance sur les performances (PDH). Ces groupes de sécurité des performances sont destinés aux administrateurs système pour restreindre l’accès aux informations exposées par les DLL de performances à une liste spécifique d’utilisateurs.

Le groupe Utilisateurs Analyseur de performances est destiné à inclure les utilisateurs qui affichent les données de compteur et ne journalisent pas les données du compteur à l’aide du service Journaux et alertes de performances. Le groupe Utilisateurs du journal des performances doit inclure les utilisateurs qui ont l’autorisation d’utiliser le service Journaux de performances et d’alerte pour journaliser les compteurs sur le serveur local ou distant. Les privilèges de ce groupe incluent également la création de fichiers journaux sur des systèmes locaux ou distants, l’utilisation du service d’alertes et l’exécution de programmes dans le cadre du service.

Notez que ces groupes de sécurité de performances ne sont pas à eux seuls un mécanisme de restriction d’accès. Pour ce faire, vous devez utiliser ces groupes avec le modèle de contrôle d’accès aux objets Windows.

La plupart des applications communiquent avec la DLL de performances par le biais d’un mécanisme IPC, généralement de la mémoire partagée. Par conséquent, vous pouvez ajouter les membres d’un groupe de sécurité de performances au descripteur de sécurité de l’objet de mémoire partagée pour restreindre l’accès à la DLL à ces membres du groupe de sécurité. Dans ce cas, vous devez également ajouter les membres du groupe au descripteur de sécurité des objets système auxquels la DLL de performance accède afin de fournir des données de compteur, par exemple, des fichiers journaux et des dossiers. Pour plus d’informations sur l’ajout de listes de contrôle d’accès aux descripteurs de sécurité d’objet, consultez Modification de la liste de contrôle d’accès d’un objet.

Une autre méthode que vous pouvez utiliser pour modifier les informations ACL du descripteur de sécurité d’un objet système IPC consiste à spécifier les membres de la liste des groupes de sécurité des performances avec le langage SDDL (Security Descriptor Definition Language) et à appeler ConvertStringSecurityDescriptorToSecurityDescriptor pour créer le descripteur de sécurité. Ce descripteur de sécurité est ensuite attaché à l’objet système IPC. L’exemple suivant montre une chaîne SDDL qui inclut le Analyseur de performances groupe Utilisateurs, MU et le groupe Utilisateurs du journal des performances, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)