Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’un des principes de bonne conception de la sécurité est d’admettre qu’il n’y a pas de telle chose qu’un système sécurisé. Les développeurs savent que certaines personnes tentent de contourner toute sécurité présente. Ce contournement peut être effectué activement, par exemple, par des acteurs malveillants qui sondent le sous-système de sécurité pour trouver et exploiter des trous. Ou peut-être accidentellement, par exemple, remplacer ou supprimer des données critiques par inadvertance. Quelle que soit la cause, il est impératif de construire un système capable de détecter ces violations.
Le système d’audit dans Windows fournit un mécanisme permettant de suivre des événements de sécurité spécifiques afin que le journal puisse être analysé ultérieurement pour effectuer une analyse post-mortem d’un système endommagé ou compromis. Ce mécanisme d’audit implique intimement le système de fichiers, car le système de fichiers est responsable de la maintenance du stockage persistant des données système. Pour de nombreux systèmes, les besoins de sécurité sont inférieurs et, dans ce cas, l’audit est désactivé. Les systèmes de fichiers doivent être implémentés de telle sorte qu’ils puissent répondre aux préoccupations de ces deux environnements.
Les routines clés pour l’audit sont les suivantes :
SeAuditingFileEvents, qui détermine si l’audit de fichier est activé sur le système. Cette vérification de stratégie globale détermine si une vérification complète d’audit doit être effectuée. Il a été introduit pour optimiser les opérations du système de sécurité.
SeAuditingFileOrGlobalEvents, qui détermine si l’audit de fichier ou global est activé sur le système. Cette vérification de stratégie globale détermine si une vérification complète d’audit doit être effectuée sur les événements de fichier ou sur les événements globaux. Il a été introduit pour optimiser les opérations du système de sécurité.
SeOpenObjectAuditAlarm, qui effectue les opérations d’audit principales dans le système Windows. Il audite une tentative d’ouverture d’un objet. Il n’audite pas si l’accès à l’objet a réussi ou échoué.
Il n’est pas nécessaire d’audit. Par exemple, les exemples de systèmes de fichiers FastFAT et CDFS n’implémentent pas d’audit. Toutefois, du point de vue de la sécurité, l’audit est important, car il permet aux administrateurs de surveiller le comportement de sécurité du système.