Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um dos princípios de um bom design de segurança é admitir que não existe um sistema seguro. Os desenvolvedores sabem que certas pessoas tentam contornar qualquer segurança presente. Esta evasão pode ser feita ativamente, por exemplo, por agentes mal-intencionados que investigam o subsistema de segurança para encontrar e explorar buracos. Ou pode ser acidental, por exemplo, substituindo ou apagando inadvertidamente dados críticos. Seja qual for a causa, é imperativo construir um sistema que possa detetar tais violações.
O sistema de auditoria dentro do Windows fornece um mecanismo para rastrear eventos de segurança específicos para que o log possa ser analisado posteriormente para executar a análise post-mortem de um sistema danificado ou comprometido. Esse mecanismo de auditoria envolve intimamente o sistema de arquivos porque o sistema de arquivos é responsável por manter o armazenamento persistente dos dados do sistema. Para muitos sistemas, as necessidades de segurança são menores e, nesses casos, a auditoria é desativada. Os sistemas de arquivos devem ser implementados de tal forma que possam atender às preocupações de ambos os ambientes.
As principais rotinas para auditoria incluem:
SeAuditingFileEvents, que determina se a auditoria de arquivos está habilitada no sistema. Essa verificação de política global determina se uma verificação de auditoria completa deve ser feita. Foi introduzido para otimizar as operações do sistema de segurança.
SeAuditingFileOrGlobalEvents, que determina se a auditoria de arquivo ou global está habilitada no sistema. Essa verificação de política global determina se uma verificação de auditoria completa deve ser feita em eventos de arquivo ou eventos globais. Foi introduzido para otimizar as operações do sistema de segurança.
SeOpenObjectAuditAlarm, que executa as operações de auditoria primárias no sistema Windows. Regista uma tentativa de abrir um objeto. Ele não audita se o acesso ao objeto foi bem-sucedido ou não.
Não há exigência de auditoria. Por exemplo, os sistemas de ficheiros de exemplo FastFAT e CDFS não implementam auditoria. No entanto, do ponto de vista da segurança, a auditoria é importante porque permite que os administradores monitorem o comportamento de segurança do sistema.