Поделиться через


Аудит в файловой системе

Одним из принципов хорошей разработки безопасности является признать, что нет такой вещи, как безопасная система. Разработчики знают, что некоторые люди пытаются обойти любую существующую систему безопасности. Это активное обхождение можно выполнить, например, когда злонамеренные лица исследуют подсистему безопасности для поиска и эксплуатации уязвимостей. Или это может быть случайно, например случайное перезапись или удаление критически важных данных. Независимо от причины, необходимо создать систему, которая может обнаружить такие нарушения.

Система аудита в Windows предоставляет механизм отслеживания конкретных событий безопасности, чтобы журнал можно было проанализировать в последующее время для проведения посмертного анализа поврежденной или скомпрометированной системы. Этот механизм аудита интимно включает в себя файловую систему, так как файловая система отвечает за поддержание постоянного хранения системных данных. Во многих системах потребности в безопасности ниже, а в таких случаях аудит отключен. Файловые системы должны быть реализованы таким образом, чтобы они могли решать проблемы обеих этих сред.

К ключевым подпрограммам аудита относятся следующие:

  • SeAuditingFileEvents, который определяет, включена ли аудит файлов в системе. Эта глобальная проверка политики определяет, следует ли выполнять полную проверку аудита. Было введено для оптимизации операций системы безопасности.

  • SeAuditingFileOrGlobalEvents, который определяет, включено ли в системе аудирование файлов или глобальный аудит. Эта глобальная проверка политики определяет, следует ли проводить полный аудит действий с файлами или глобальных событий. Было введено для оптимизации операций системы безопасности.

  • SeOpenObjectAuditAlarm, который выполняет основные операции аудита в системе Windows. Он проверяет попытку открыть объект. Он не проверяет, был ли доступ к объекту успешным или неудачным.

Для проведения аудита проверки не требуется. Например, примеры файловых систем FastFAT и CDFS не реализуют аудит. Однако с точки зрения безопасности аудит важен, так как он позволяет администраторам отслеживать поведение системы безопасности.