Condividi tramite

Limitazione dell'accesso alle DLL dell'estensione per le prestazioni

  • Articolo

A partire da Windows Server 2003, il gruppo Monitor prestazioni Users e il gruppo Performance Log Users sono stati resi disponibili agli sviluppatori e agli utenti delle DLL delle prestazioni e delle funzioni API di Performance Data Helper (PDH). Questi gruppi di sicurezza delle prestazioni sono destinati all'uso da parte degli amministratori di sistema per limitare l'accesso alle informazioni esposte dalle DLL delle prestazioni a un elenco specifico di utenti.

Il gruppo utenti Monitor prestazioni è destinato a includere gli utenti che visualizzano i dati dei contatori e non registrano i dati dei contatori usando il servizio Log prestazioni e avvisi. Il gruppo Performance Log Users deve includere gli utenti autorizzati a usare i log delle prestazioni e il servizio avvisi per registrare i contatori nel server locale o remoto. I privilegi di questo gruppo includono anche la creazione di file di log nei sistemi locali o remoti, l'uso del servizio avvisi e l'esecuzione di programmi come parte del servizio.

Si noti che questi gruppi di sicurezza delle prestazioni non sono di per sé un meccanismo di restrizione di accesso. A tale scopo, è necessario usare questi gruppi con il modello di controllo di accesso agli oggetti di Windows.

La maggior parte delle applicazioni comunica con la DLL delle prestazioni tramite un meccanismo IPC, in genere memoria condivisa. È quindi possibile aggiungere i membri di un gruppo di sicurezza delle prestazioni al descrittore di sicurezza dell'oggetto memoria condivisa per limitare l'accesso alla DLL a tali membri del gruppo di sicurezza. In questo caso, è necessario aggiungere anche i membri del gruppo al descrittore di sicurezza degli oggetti di sistema a cui accede la DLL delle prestazioni per fornire dati dei contatori, ad esempio file di log e cartelle. Per informazioni più dettagliate sull'aggiunta di elenchi di controllo di accesso ai descrittori di sicurezza degli oggetti, vedere Modifica dell'ACL di un oggetto.

Un altro metodo che è possibile usare per modificare le informazioni ACL del descrittore di sicurezza di un oggetto di sistema IPC consiste nel specificare i membri dell'elenco dei gruppi di sicurezza delle prestazioni con SECURITY Descriptor Definition Language (SDDL) e chiamare ConvertStringSecurityDescriptorToSecurityDescriptor per creare il descrittore di sicurezza. Questo descrittore di sicurezza viene quindi collegato all'oggetto di sistema IPC. Di seguito viene illustrata una stringa SDDL che include il gruppo utenti Monitor prestazioni, MU e il gruppo Utenti log delle prestazioni, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)