C2级安全性要求规定,系统管理员必须能够审核与安全相关的事件,并且对审核数据的访问必须限于授权管理员。Win32 API提供功能,使管理员能够监控与安全相关的事件。
系统访问控制列表(ACL)包含对象的审计访问控制条目(ACE)。应用程序可以使用GetSecurityDescriptorSacl和SetSecurityDescriptorSacl函数来检索现有的系统ACL或设置新的系统ACL。AddAuditAccessAce功能将ACE添加到系统ACL,使系统能够在安全日志中记录指定的访问尝试。可以使用Microsoft Windows事件查看器(EVENTVWR.EXE)读取此安全日志,并且可以使用事件记录中讨论的事件记录功能进行操作。有关系统ACL的详细信息,请参阅访问控制列表(ACL).
只要进程尝试完成特权操作,应用程序就可以使用ObjectPrivilegeAuditAlarm函数生成审计和报警消息。只要进程尝试执行特权系统服务操作,PrivilegedServiceAuditAlarm就会生成审核和报警消息。
删除对象时,ObjectCloseAuditAlarm会生成审核消息。当进程尝试打开或访问对象时,ObjectOpenAuditAlarm函数将生成审核消息。
