文件系統中的稽核

良好的安全性設計原則之一是承認沒有安全系統。 開發人員知道某些人嘗試規避存在的安全性。 例如，藉由惡意執行者探查安全性子系統來尋找和惡意探索漏洞，即可主動進行這種規避。 或者可能是意外的，例如，不小心覆寫或刪除重要數據。 無論原因為何，建構可以偵測這類缺口的系統，勢在必行。

Windows 內的稽核系統提供追蹤特定安全性事件的機制，以便稍後分析記錄檔，以執行損毀或遭入侵系統的驗屍分析。 此稽核機制密切涉及文件系統，因為文件系統負責維護系統數據的永續性儲存。 針對許多系統，安全性需求較低，在這些情況下，會停用稽核。 文件系統必須以這種方式實作，才能解決這兩個環境的擔憂。

稽核的關鍵例程包括：

• SeAuditingFileEvents，決定系統上是否啟用檔案稽核。 此全域原則檢查會判斷是否應該完成完整的稽核檢查。 它引進了優化安全性系統作業。

• SeAuditingFileOrGlobalEvents，決定系統上是否啟用檔案或全域稽核。 此全域原則檢查會決定是否應該對檔案事件或全域事件執行完整稽核檢查。 它引進了優化安全性系統作業。

• SeOpenObjectAuditAlarm，它會在 Windows 系統中執行主要稽核作業。 它會稽核嘗試開啟物件。 它不會稽核物件存取是否成功或失敗。

不需要稽核。 例如， FastFAT 和 CDFS 範例文件系統 不會實作稽核。 不過，從安全性觀點來看，稽核很重要，因為它可讓系統管理員監視系統的安全性行為。