監査の生成

C2 レベルのセキュリティ要件では、システム管理者がセキュリティ関連のイベントを監査できる必要があり、この監査データへのアクセスを承認された管理者に制限する必要があることを指定します。 Windows API には、管理者がセキュリティ関連のイベントを監視するための関数が用意されています。

セキュリティ保護可能なオブジェクトのセキュリティ記述子には、 システム アクセス制御リスト (SACL) を含めることができます。 SACL には、監査レポートを生成するアクセス試行の種類を指定するアクセス 制御エントリ (ACE) が含まれています。 各 ACE は、トラスティ、アクセス権のセット、およびシステムがアクセス試行の失敗、アクセス試行の成功、またはその両方の監査メッセージを生成するかどうかを示すフラグのセットを識別します。

システムは、監査メッセージをセキュリティ イベント ログに書き込みます。 セキュリティ イベント ログ内のレコードへのアクセスの詳細については、「 イベント ログ」を参照してください。

オブジェクトの SACL を読み書きするには、スレッドで最初に SE_SECURITY_NAME 特権を有効にする必要があります。 詳細については、「 SACL Access Right」を参照してください。

また、Windows API は、クライアントがプライベート オブジェクトにアクセスしようとしたときに監査メッセージを生成するサーバー アプリケーションのサポートも提供します。 詳細については、「 プライベート オブジェクトへのアクセスの監査」を参照してください。