| |
| Windows用户登录到系统时,WinLogon进程为用户创建访问令牌,包含用户及所属组的安全标识符(SID),作为用户的身份标识。文件等客体则含有自主访问控制列表(DACL),标明谁有权访问,还含有系统访问控制列表(SACL),标明哪些主体的访问需要被记录。用户进程访问客体对象时,通过WIN32子系统向核心请求访问服务,核心的安全参考监视器(SRM)将访问令牌与客体的DACL进行比较,决定客体是否拥有访问权限,同时检查客体的SACL,确定本次访问是否落在既定的审计范围内,是则送至审计子系统。整体过程如下图所示。
|
|
|
|
|
|
|
| 审计数据如下图所示,这是Windows 2000事件查看器中列出的部分登录事件,其中用户rde的一次登录失败。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
