Ограничение доступа к библиотекам DLL расширения производительности
Начиная с Windows Server 2003, группы пользователей Монитор производительности и пользователи журнала производительности были доступны разработчикам и пользователям библиотек DLL производительности и функций API помощника по данным производительности (PDH). Эти группы безопасности производительности предназначены для использования системными администраторами при ограничении доступа к информации, предоставляемой библиотеками DLL производительности, определенным списком пользователей.
Группа Монитор производительности Пользователи предназначена для включения пользователей, которые просматривают данные счетчиков и не регистрируют данные счетчиков с помощью службы журналов производительности и оповещений. Группа Пользователи журнала производительности должна включать пользователей, имеющих разрешение на использование службы журналов производительности и оповещений для ведения журнала счетчиков на локальном или удаленном сервере. Привилегии этой группы также включают создание файлов журналов в локальных или удаленных системах, использование службы оповещений и запуск программ в составе службы.
Обратите внимание, что эти группы безопасности производительности сами по себе не являются механизмом ограничения доступа. Для этого необходимо использовать эти группы с моделью управления доступом к объектам Windows.
Большинство приложений взаимодействуют с библиотекой DLL производительности с помощью механизма IPC, как правило, общей памяти. Таким образом, можно добавить члены группы безопасности производительности в дескриптор безопасности объекта общей памяти, чтобы ограничить доступ к библиотеке DLL этими членами группы безопасности. При этом необходимо также добавить членов группы в дескриптор безопасности системных объектов, к которым обращается библиотека DLL производительности, чтобы предоставить данные счетчиков, например файлы журналов и папки. Дополнительные сведения о добавлении списков ACL в дескрипторы безопасности объектов см. в статье Изменение ACL объекта.
Другой метод, который можно использовать для изменения данных ACL дескриптора безопасности системного объекта IPC, заключается в указании членов списка групп безопасности производительности с помощью языка определения дескриптора безопасности (SDDL) и вызове Метода ConvertStringSecurityDescriptorToSecurityDescriptor для создания дескриптора безопасности. Затем этот дескриптор безопасности присоединяется к системному объекту IPC. Ниже показана строка SDDL, включающая группу Монитор производительности Пользователи, MU и группу пользователей журнала производительности(LU).
D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по