SACL 由訪問控制項 (ACE) 組成。每個 ACE 包含三部分信息：

• 要審核的安全主要對象。

• 要審核的特定訪問類型，稱為訪問掩碼。

• 一種表明是審核失敗訪問、成功訪問還是兩者兼有的標志。


假如要在安全日志中顯示事件，必須首先啟用“對象訪問審核”，然后為要審核的每個對象定義 SACL。

Windows 2000 中的審核是在打開一個到對象的句柄時生成的。Windows 2000 使用一個內核模式的安全子系統，這種系統只答應程序通過內核訪問對象。這會防止程序嘗試繞過安全系統。因為內核內存空間是與用戶模式程序相隔離的，所以程序是通過一個稱為句柄的數據結構引用對象的。下面是一個典型的訪問嘗試：

1.
用戶要求程序訪問某個對象（例如，文件/打開）。

2.
該程序從系統請求一個句柄，指定需要哪種類型的訪問（讀、寫等）。

3.
安全子系統將請求對象的自由訪問控制列表 (DACL) 與該用戶的令牌相比較，在 DACL 中查找與該用戶或用戶所在組相匹配的項，以及對于請求程序有訪問權限的項。

4.
系統將所請求對象的 SACL 與該用戶的令牌相比較，在 SACL 中查找與該程序返回的有效權限相匹配的項，或與該程序請求的權限相匹配的項。假如匹配的失敗審核 ACE 與一個已請求但未授予的訪問相匹配，則生成一個失敗審核事件。假如匹配的成功審核 ACE 與一個已授予的訪問相匹配，則生成一個成功審核事件。

5.
假如授予任何訪問，系統都會向該程序返回一個句柄，然后該程序會使用該句柄訪問該對象。


要注重的重要一點是，當發生審核并生成事件時，尚未對該對象發生任何操作。這對于解釋審核事件至關重要。寫入審核是在文件被寫入之前生成的，讀取審核則在文件被讀取之前生成。

與所有審核一樣，務必采取一個針對目標的方式來審核對象訪問。在審核計劃中，應決定必須審核的對象類型，然后確定每種類型的審核對象，希望監視哪些類型的訪問嘗試（成功、失敗，還是兩者兼有）。審核的范圍過寬會對系統性能產生明顯的影響，并會使收集的數據過多，遠遠超過必要或有用的程度。

通常情況下，您希望審核對所選擇對象的所有訪問，其中包括來自非信任帳戶的訪問。為此，請在審核對象的 SACL 中添加“Everyone”組）。您應了解，假如按照這種方式審核成功的對象訪問，可能會在安全日志中產生非常多的審核項。然而，假如要對重要文件的刪除進行調查，則必須檢查成功審核事件，以確定哪個用戶帳戶刪除了該文件。

“成員服務器和域控制器基準策略”的設置是既審核成功對象訪問也審核失敗事件。但是，這些對象本身不會設置任何 SACL，需要根據環境的需要設置這些內容。SACL 可以直接在對象上定義，也可以通過組策略定義。假如要審核的對象存在于多個計算機上，則應在組策略中定義這些 SACL。

審核對象訪問會導致安全日志顯示下列事件。

表 4：事件日志中的對象訪問事件

事件 ID 說明
560
授予現有對象訪問權限。

562
對象句柄關閉。

563
為刪除對象而打開對象。（這是文件系統在指定了 FILE_DELETE_ON_CLOSE 標志時所使用的。）

564
刪除了一個受保護的對象。

565
授予現有對象類型訪問權限。


假如要查找特定的對象訪問事件，主要需研究事件 ID 為 560 的事件。該事件具體信息中有一些有用的信息，請搜索該事件的具體信息，找出正在搜索的特定事件。下表顯示了一些可能要執行的操作，以及如何執行這些操作。

表 5：如何執行對象訪問事件 560 的主要審核操作

審核操作 如何完成
查找特定的文件、文件夾或對象
在事件 560 的具體信息中，搜索要復查其上操作的文件或文件夾的完整路徑。

查看更多 動易Cms教程  動易Cms模板