审核

良好的安全设计原则之一是承认不存在安全系统。 系统的开发人员必须知道，人们会绕过任何存在的安全性。 这可以主动完成，例如，通过探测安全子系统来查找和利用系统中的漏洞。 或者，这可能是意外的，例如，无意中覆盖或删除关键数据。 无论原因是什么，必须构建一个能够检测此类违规行为的系统。

Windows 中的审核系统提供了一种跟踪特定安全事件的机制，以便以后可以分析日志，以便对损坏或受损的系统执行事后分析。 Windows 上的审核机制与文件系统密切相关，因为文件系统负责维护系统数据的持久性存储。 对于许多系统，安全需求要低得多，在这些情况下，会禁用审核。 文件系统的实现方式必须能够解决这两个环境的问题。

审核的关键例程包括：

• SeAuditingFileEvents - 此例程确定是否已在系统上启用文件审核;这是一个全局策略检查，用于确定是否应执行完全审核检查。 引入此例程以优化安全系统操作。

• SeOpenObjectAuditAlarm - 此例程在 Windows 系统中执行主要审核操作， (审核尝试打开对象) 。 请注意，尝试访问已审核的对象，而不是访问对象是否成功。

无需审核。 没有任何示例文件系统 (FAT 或 CDFS，例如，WDK 的 IFS 部分中) 实现审核。 但是，从安全角度来看，审核很重要，因为它允许管理员监视系统的安全行为。