Поделиться через

Аудит в файловой системе

  • Статья

Одним из принципов хорошей разработки безопасности является признать, что нет такой вещи, как безопасная система. Разработчики знают, что некоторые люди пытаются обойти все, что существует безопасность. Это обход можно сделать активно, например, путем проверки подсистемы безопасности для поиска и эксплуатирования отверстий. Или это может быть случайно, например случайное перезапись или удаление критически важных данных. Независимо от причины, необходимо создать систему, которая может обнаружить такие нарушения.

Система аудита в Windows предоставляет механизм отслеживания конкретных событий безопасности, чтобы журнал можно было проанализировать позже, чтобы выполнить послемордный анализ поврежденной или скомпрометируемой системы. Этот механизм аудита интимно включает в себя файловую систему, так как файловая система отвечает за поддержание постоянного хранения системных данных. Во многих системах потребности в безопасности ниже, а в таких случаях аудит отключен. Файловые системы должны быть реализованы таким образом, чтобы они могли решать проблемы обеих этих сред.

К ключевым подпрограммам аудита относятся следующие:

  • SeAuditingFileEvents, который определяет, включена ли аудит файлов в системе. Эта глобальная проверка политики определяет, следует ли выполнять полную проверку аудита. Было введено для оптимизации операций системы безопасности.

  • SeAuditingFileOrGlobalEvents, который определяет, включен ли в системе файл или глобальный аудит. Эта глобальная проверка политики определяет, следует ли выполнять полную проверку аудита на событиях файлов или глобальных событиях. Было введено для оптимизации операций системы безопасности.

  • SeOpenObjectAuditAlarm, который выполняет основные операции аудита в системе Windows. Он проверяет попытку открыть объект. Он не проверяет, был ли доступ к объекту успешным или неудачным.

Для аудита не требуется. Например, примеры файловых систем FastFAT и CDFS не реализуют аудит. Однако с точки зрения безопасности аудит важен, так как он позволяет администраторам отслеживать поведение системы безопасности.