CN101218568A - 每-用户和系统粒度的审计策略实现 - Google Patents
每-用户和系统粒度的审计策略实现 Download PDFInfo
- Publication number
- CN101218568A CN101218568A CNA2006800251342A CN200680025134A CN101218568A CN 101218568 A CN101218568 A CN 101218568A CN A2006800251342 A CNA2006800251342 A CN A2006800251342A CN 200680025134 A CN200680025134 A CN 200680025134A CN 101218568 A CN101218568 A CN 101218568A
- Authority
- CN
- China
- Prior art keywords
- audit
- subclassification
- user
- function
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
可通过提供对个别审计事件执行精细程度的控制的能力来优化系统性能并减少额外的审计干扰。诸如对个别审计事件感兴趣的审计员之类的用户可获取所需结果而无需获取含有个别审计事件的分类中的所有其他个别审计事件的结果。此外,审计可在每-用户基础上或系统范围基础上获取。以此方式,审计员可定制审计事件,而不必顾及为系统的其他用户建立的审计事件。因此,存在为整个系统建立审计策略的能力,在这种情况中,系统的所有用户可获取系统范围的审计的结果。
Description
背景
计算机系统实现安全策略来保护其信息和服务资源不受未经授权的访问。这样的系统可例如审计目录和文件访问和服务器事件并将这样的事件记录在安全日志中。可审阅该日志以帮助标记安全裂口。这样的系统的用户可配置安全审计以跟踪某些事件并决定在先跟踪其它事件。
安全策略可被分成多组,在下文中每一组被称为“分类”。每一安全策略分类包括各个审计事件。例如,一个安全策略分类可以是对象访问审计分类。对象访问审计分类可包括对例如文件系统、注册表和内核对象的访问的各个安全审计。在这样的系统中,如果用户想要个别审计事件的结果,则计算机系统可被引导来执行对整个分类的审计,产生对分类中每一安全事件的审计。例如,如果用户想要审计对文件系统的访问,则用户发起对对象访问分类的审计,并获取对文件系统以及对注册表和内核的访问的结果。
这样的系统防止用户执行对安全审计的精细程度的控制。即,尽管用户对注册表或内核访问的安全审计结果不感兴趣,他们也可能无法发起仅对文件系统的安全审计。这种对注册表和内核访问的不期望的安全审计形式的额外的干扰不必要地消费了系统资源并抑制了最佳系统性能。
概述
可通过向诸如系统审计员的用户提供对审计事件执行精细程度的控制的能力来优化系统性能并减少额外审计干扰。即,可向审计员提供以分类级别或个别审计事件级别执行安全审计的选择。在这样的系统中,例如,对诸如文件系统访问等个别审计事件感兴趣的审计员可获取所需结果而无需获取含有该文件系统访问审计的分类中的其他个别审计事件的结果。
此外,可在每-用户的基础上或在系统范围的基础上获取审计。即,在具有多个用户的计算环境中,审计员可定制审计事件以适合特定用户所需的监控的特定级别,而无需顾及为系统上的其他用户的活动生成的审计事件。在这样的计算环境中,仍保留建立整个系统的审计策略的能力,在这种情况中根据系统范围的审计策略监控所有用户活动。
审计策略可由本地安全授权机构来建立和实现。审计员可例如通过访问向用户展示的应用程序编程接口来设置或查询审计策略。该接口可向用户显示所有审计功能,诸如设置和查询,以及显示可用的每一分类、子分类、和个别审计事件。在审计员选择了一功能和个别审计事件、子分类、分类之后,可执行远程过程调用,以调用到本地安全授权机构的安全环境。本地安全授权机构中的审计功能可被执行,且结果被发送来例如用于显示并由审计员审阅。
附图简述
当结合附图阅读时,前面的概述和以下详细描述可被更好地理解。在附图中公示出了各个实施例,然而,可以理解,权利要求书不限于此处所示的特定方法和工具。在附图中:
图1是示出可在其中实现各个方面的示例计算环境的框图;
图2是用于实现按粒度审计策略的计算机的框图;
图3是可被包括在本地安全授权机构内的审计相关远程过程调用的框图;
图4是向用户展示的审计应用程序编程接口的框图;
图5是示例审计分类和示例审计子分类的框图;
图6是实现每-用户的审计策略的计算机的框图;
图7描述了用于在每-用户或系统基础上实现按粒度审计策略的示例方法的流程图;
图8是可被传入或传出应用程序编程接口且可提供与审计子分类或审计分类相关联的审计策略信息的结构的示例;
图9描述了用于提供如由安全标识符标识的、为一用户建立的审计策略的示例数据结构;
图10和11分别描述了用于提供本地安全授权机构中可用的审计分类和审计子分类的示例数据结构。
说明性实施例的详细描述
示例计算环境
图1和以下讨论旨在提供对可在其中实现示例实施例的合适计算环境100的简要一般描述。如此处所使用的,术语“计算系统”、“计算机系统”和“计算机”指的是包括能够执行或处理程序代码和/或数据的处理器的任何机器、系统或设备。计算系统的示例包括,不旨在限制,个人计算机(PC)、小型机、大型机、瘦客户机、网络PC、服务器、工作站、膝上型计算机、手持式计算机、可编程消费者电子产品、多媒体控制台、游戏控制台、卫星接收器、机顶盒、自动柜员机、街机游戏、移动电话、个人数字助理(PDA)和任何其他基于处理器的系统或机器。术语“数据”指的是任何形式的任何信息,包括命令、传输、通知或请求。术语“程序代码”和“代码”指的是可由处理器执行或处理的任何指令集。处理器可包括运行时的或虚拟的机器,诸如Java虚拟机。
尽管以下描述了通用计算机,但这仅是一个示例。本发明也可在具有与网络服务器可互操作性和交互的瘦客户机上操作。因此,可在其中包含很少或最少的客户机资源的联网托管服务(hosted service)的环境中实现示例实施例,例如其中客户机设备仅用作万维网的浏览器或接口的联网环境。
尽管不是必需的,但实施例可经由应用程序编程接口(API)来实现,供开发员或测试员使用,和/或包括在可在诸如程序模块等由一个或多个计算机(例如,客户机工作站、服务器或其他设备)的计算机可执行指令的一般上下文中描述的网络浏览软件内。一般而言,程序模块包括例程、程序、对象、组件、数据结构等,它们执行特定任务或实现特定抽象数据类型。一般,程序模块的功能可按需在各个实施例中组合或分布。实施例也可以在分布式计算环境中实现,其中任务由通过通信网络或其他数据传输介质链接的远程处理设备来执行。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
图1示出了可在其中实现实施例的合适的计算系统环境100的示例,尽管如上所述,计算系统环境100只是合适的计算环境的一个示例,并不旨在对实施例的使用范围或功能替换上提出任何限制。也不应该把计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。
参考图1,用于实现实施例的一个示例系统包括计算机110形式的通用计算设备。计算机110的组件可以包括,但不限于,中央处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干类型的总线结构中的任一种,包括存储器总线或存储器控制器、外围总线和使用各种总线体系结构中的任一种的局部总线。作为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也被称为Mezzanine总线)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能够被计算机110访问的任何可用介质,且包括易失性和非易失性介质、可移动和不可移动介质。作为示例,而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、闪存或其它存储器技术、压缩盘只读存储器(CDROM)、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算机110访问的任何其它介质。通信介质通常具体化为在诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据,且包含任何信息传递介质。术语“已调制数据信号”指的是这样一种信号,其一个或多个特征以在信号中编码信息的方式被设定或更改。作为示例,而非限制,通信介质包括有线介质,诸如有线网络或直接线路连接,以及无线介质,诸如声学、射频(RF)、红外线和其它无线介质。上述中任一个的组合也应包括在计算机可读介质的范围之内。
系统存储器130包括易失性或非易失性存储器形式的计算机存储介质,诸如ROM 131和RAM 132。基本输入/输出系统133(BIOS)包含有助于诸如启动时在计算机110中元件之间传递信息的基本例程,它通常存储在ROM 131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在操作的数据和/或程序模块。作为示例,而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。RAM 132可包含其它数据和/或程序模块。
计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器141,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在示例性操作环境下使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括,但不限于,盒式磁带、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器141通常由不可移动存储器接口,诸如接口140连接至系统总线121,磁盘驱动器151和光盘驱动器155通常由可移动存储器接口,诸如接口150连接至系统总线121。
以上描述和在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同或不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里被标注了不同的标号是为了说明至少它们是不同的副本。用户可以通过输入设备,诸如键盘162和定点设备161(通常指鼠标、跟踪球或触摸垫)向计算机110输入命令和信息。其它输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常由耦合至系统总线121的用户输入接口160连接至处理单元120,但也可以由其它接口或总线结构,诸如并行端口、游戏端口或通用串行总线(USB)连接。
监视器191或其它类型的显示设备也经由接口,诸如视频接口190连接至系统总线121。除监视器191以外,计算机也可以包括其它外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口195连接。
计算机110可使用至一个或多个远程计算机,诸如远程计算机180的逻辑连接在网络化环境下操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,尽管在图1中只示出存储器存储设备181。图1中所示逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的网络环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN网络环境中使用时,计算机110通过网络接口或适配器170连接至LAN 171。当在WAN网络环境中使用时,计算机110通常包括调制解调器172或用于通过诸如因特网等WAN 173建立通信的其它装置。调制解调器172可以是内置或外置的,它可以通过用户输入接口160或其它合适的机制连接至系统总线121。在网络化环境中,相对于计算机110所描述的程序模块或其部分可以存储在远程存储器存储设备中。作为示例,而非限制,图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
计算机110或其它客户机设备可被部署为计算机网络的一部分。就这点而言,本发明适合于具有任何数目的存储器或存储单元以及在任何数目的存储单元或存储卷上出现的任何数目应用程序和进程的任何计算机系统。本发明的实施例可应用于其中服务器计算机和客户机计算机被部署在网络环境中的一种环境,该环境具有远程或本地存储。本发明也可应用于单机计算设备,它具有程序设计语言的功能、解释和执行能力。
示例实施例
图2是用于实现按粒度审计策略的计算机200的框图。计算机200可以是图1中所示的计算机110或计算环境100。计算机200还可包括本地安全授权机构210。本地安全授权机构210可以是执行安全功能,诸如鉴别用户并将用户登录到计算机200上的任何受保护的子系统。本地安全授权机构210还可维护关于计算机200上本地安全的所有方面的信息。本地安全授权机构210可包括审计策略存储215,即包含审计分类和子分类300的数据库。本地安全授权机构210还可包括应用程序编程接口(API)220。API 220可以是“私有的”,因此计算机200的用户以及运行在计算机200上的、本地安全授权机构210外的应用程序可能无法直接访问私有API。私有API可包括审计相关远程过程调用(RPC)接口225。RPC接口225可以是例如向计算机200的操作系统展示接口的API。以此方式,该本地安全授权机构的审计策略的改变、查询或其它功能可通过审计相关RPC接口225的展示来执行。
除本地安全授权机构210以外,计算机200包括向用户展示的审计API 250。向用户展示的审计API 250包括每-用户的审计API 260和系统审计API 270。计算机200的审计员可发起诸如通过向用户展示的审计API 250来设置或查询本地安全授权机构210内的每-用户或系统审计策略的各种功能的执行。此外,尽管向用户展示的审计API 250在计算机200中被示为与本地安全授权机构210分开的实体,向用户展示的审计API或者可以是本地安全授权机构210中包含的围绕API的包装。
当审计员例如从系统审计API 270调用设置系统审计API时,计算机200上的某实体,诸如操作系统可将该调用发送到本地安全授权机构210。可访问私有API 220之一,更具体的是审计相关RPC接口225之一来实现审计员所需的审计设置。
本地安全授权机构210和向用户展示的审计API将在此处更详细地描述。
图3是本地安全授权机构210以及可被包括在私有API 220内的审计相关RPC接口225的框图。审计相关RPC接口225可包括设置安全审计策略RPC接口226。设置安全审计策略RPC接口226允许在分类、子分类或个别审计事件级别上设置系统和每-用户的审计策略。以下是设置安全审计策略RPC接口226的示例。
NTSTATUS
LsarSetAuditPolicy(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in,unique]PLSAPR_SID PrincipalSid,
[in,unique]GUID*ApplicationGuid,
[in,range(0,LSA_MAXIMUM_AUDIT_POLICY_COUNT)]ULONG
PolicyCount,
[in,size_is(PolicyCount)]PCAUDIT_POLICY_INFORMATION
AuditPolicy
);
审计相关RPC接口225可包括查询审计策略RPC接口227,它允许在分类、子分类或个别审计事件级别上查询系统或每-用户的审计策略。查询审计策略RPC接口227的示例如下:
NTSTATUS
LsarQueryAuditPolicy(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in,unique]PLSAPR_SID PrincipalSid,
[in,unique]const GUID*ApplicationGuid,
[in,range(0,LSA_MAXIMUM_AUDIT_POLICY_COUNT)]ULONG
PolicyCount,
[in,size_is(PolicyCount)]const GUID*SubCatogiesGuidArray,
[out,size_is(,PolicyCount)]PAUDIT_POLICY_INFORMATION
*AuditPolicy
);
审计相关RPC接口225可包括列举为其定义每-用户策略的用户的RPC接口228,其示例如下:
NTSTATUS
LsarQueryAuditPolicy(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in,unique]PLSAPR_SID PrincipalSid,
[in,unique]const GUID*ApplicationGuid,
[in,range(0,LSA_MAXIMUM_AUDIT_POLICY_COUNT)]ULONG
PolicyCount,
[in,size_is(PolicyCount)]const GUID*SubCatogiesGuidArray,
[out,size_is(,PolicyCount)]PAUDIT_POLICY_INFORMATION
*AuditPolicy
);
审计相关RPC接口225可包括列举分类RPC接口229,它允许列举由例如操作系统理解的分类的列表。列举分类RPC接口229的示例如下:
NTSTATUS
LsarEnumerateAuditCategories(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[out]PPOLICY_AUDIT_CATEGORY_ARRAY*AuditCategoriesArray
);
审计相关RPC接口225可包括列举子分类RPC接口230,它允许列举例如由操作系统理解的子分类的列表:
NTSTATUS
LsarEnumerateAuditSubCategories(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in,unique]const GUID*AuditCategory,
[in]BOOLEAN RetrieveAllSubCategories,
[out]PPOLICY_AUDIT_SUBCATEGORY_ARRAY
*AuditSubCategoriesArray
);
审计相关RPC接口225可包括查找审计分类的名字的RPC接口231,其示例如下:
NTSTATUS
LsarLookupAuditCategoryName(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in]const GUID*AuditCategory,
[out]PLSAPR_UNICODE_STRING*CategoryName
);
审计相关RPC接口225可包括查找审计子分类的RPC接口232,该子分类可以是个别审计事件。其示例如下:
NTSTATUS
LsarLookupAuditSubCategoryName(
[in,unique,string]PLSAPR_SERVER_NAME ServerName,
[in]const GUID*AuditSubCategory,
[out]PLSAPR_UNICODE_STRING*SubCategoryName
);
可以理解,审计相关RPC接口225可包括其它或替换的RPC接口,且此处所述并在图3中所示的这些接口仅是这样的接口的示例。例如,审计相关RPC接口225可包括用于查询对于用户的有效审计策略的RPC接口233。即,考虑为每-用户和为系统设置的策略,这样的接口可示出用于特定用户的有效审计策略。
图4是向用户展示的审计API 250的框图。如前所述,这样的API可包括每-用户的审计API 260以及系统审计API 270。每-用户的审计API 260是允许诸如计算机200的系统的审计员例如设置特定用户所需的审计策略而不必为系统设置审计策略的审计API。这样的API允许诸如计算机200的同一计算机的不同用户具有由审计员选择的不同的审计策略,而不考虑应用于其它用户的审计策略。
每-用户审计API 260之一可以是设置每-用户审计策略261,它为所指定的安全当事人(principal)对一个或多个分类、子分类或个别审计事件的审计设置策略。可要求这样的API的调用者或用户(在此文档中被称为“审计员”)具有设置审计策略的提高的访问特权。以下是设置每-用户审计策略261的示例:
BOOLEAN AuditSetPerUserPolicy(
__in PCSID pSid,
__in_ecount(PolicyCount)PCAUDIT_POLICY_INFORMATION pAuditPolicy,
__in ULONG PolicyCount
);
该API的参数包括:
pSid:[in]指向该函数为其设置审计策略的当事人的SID(安全身份)的指针。
pAuditPolicy:[in]指向AUDIT_POLICY_INFORMATION结构的数组的指针。此结构的AuditCategoryGuid成员可被忽略,每-用户审计策略可为所有子分类或经由该参数指定的个别审计事件来设置。
PolicyCount:[in]表示pAuditPolicy数组中元素的数目。
该API的返回值可包括成功时的TRUE(真)或失败时的FALSE(假)。此外,GetLastError()函数可用于获取更具体的状态码。可返回以下状态码:
ERROR_NO_SUCH_USER:该特定SID不存在用户。
ERROR_INVALID_PARAMETER:该参数构成不正确。如果在pAuditPolicyInformation结构中的任何一个元素无效则不设置任何审计策略。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
另一个每-用户审计API 260可以是查询每-用户审计策略262,它为指定的安全当事人查询对于一个或多个分类、子分类或个别审计事件的审计策略。可要求这样的API的调用者或用户具有设置审计策略的提高的访问特权。以下是查询每-用户审计策略262的示例:
BOOLEAN AuditQueryPerUserPolicy(
__in PCSID pSid,
__in_ecount(PolicyCount)PCGUID pSubCategoryGuids,
__in ULONG PolicyCount,
__deref_out_ecount(PolicyCount)PAUDIT_POLICY_INFORMATION*
ppAuditPolicy
);
该查询每-用户审计策略262的参数可包括:
pSid:[in]指向该函数为其查询审计策略的当事人的SID(安全身份)的指针。
pSubCategoriesGuids:[in]指向必须为其检索每-用户审计策略的SubCategoryGuids数组的指针。所指向的GUID的总数为PolicyCount(策略计数)。
PolicyCount:[in]由pSubCategoriesGuids所指向的GUID元素的计数组成的ULONG。这也是从ppAuditPolicy返回的AUDIT_POLICY_INFORMATION元素的数目。
ppAuditPolicy:[out]指向返回AUDIT_POLICY_INFORMATION结构数组的所分配的单个块缓冲区的指针。该元素的总数为PolicyCount。为经由pSubCategoryGuids指定的所有子分类检索每-用户审计策略。也检索与每一子分类相关联的分类并经由AuditCategoryGuid来传出。缓冲区内的指针是指向所分配的单个块内的位置的指针。所返回的单个缓冲区可通过调用AuditFree来释放。
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
ERROR_INVALID_PARAMETER:该参数构成不正确。
ERROR_FILE_NOT_FOUND:对由pSid指定的用户不存在每-用户策略。
另一每-用户审计API 260可以是计算有效策略263,它通过将系统审计策略与每-用户策略组合来为安全当事人计算关于一个或多个分类、子分类或个别审计事件的有效审计策略。可要求这样的API的调用者或用户具有提高的访问特权。以下是计算有效审计策略263的示例:
BOOLEAN AuditComputeEffectivePolicyBySid(
__in PCSID pSid,
__in_ecount(PolicyCount)PCGUID pSubCategoryGuids,
__in ULONG PolicyCount,
__deref_out_ecount(PolicyCount)PAUDIT_POLICY_INFORMATION*
ppAuditPolicy
);
该API的参数可包括:
pSid:[in]指向该函数为其查询有效审计策略的当事人的SID的指针。
pSubCategoriesGuids:[in]指向必须为其检索有效审计策略的SubCategoryGuids数组的指针。所指向的GUID的总数为PolicyCount。
PolicyCount:[in]由pSubCategoriesGuids所指向的GUID元素的计数所组成的ULONG。这也是从ppAuditPolicy返回的AUDIT_POLICY_INFORMATION元素的数目。
ppAuditPolicy:[out]指向返回AUDIT_POLICY_INFORMATION结构的数组的所分配的单个块缓冲区的指针。元素的总数为PolicyCount。为经由pSubCategoryGuids为指定的所有子分类或个别审计事件检索有效审计策略。也检索与每一子分类相关联的分类,并经由AuditCategoryGuid传出。缓冲区内的指针是指向所分配的单个块内的位置的指针。所返回的单个缓冲区可通过调用AuditFree来释放。
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
ERROR_INVALID_PARAMETER:该参数构成不正确。
ERROR_FILE_NOT_FOUND:对由pSid指定的用户不存在每-用户策略。
另一个每-用户审计API 260可以是用于列举为其指定了每-用户审计的用户的API 264。可要求这样的API的调用者或用户具有提高的访问特权。以下是示例:
BOOLEAN AuditEnumeratePerUserPolicy(
__out PPOLICY_AUDIT_SID_ARRAY*ppAuditSidArray
);
API 264的参数可包括:
ppAuditSidArray:[out]指向返回sid数组的所分配的单个块缓冲区的指针。缓冲区内的指针是指向所分配的单个块内的位置的指针。所返回的单个缓冲区必须通过调用AuditFree来释放。该结构的UsersCount成员包含由UserSidArray(用户Sid数组)所指向的sid的数目。
typedef struct_POLICY_AUDIT_SID_ARRAY{
ULONG UsersCount;
#ifdef MIDL_PASS
[size_is(UsersCount)]PAUDIT_SID_RPC*UserSidArray;
#else
PSID*UserSidArray;
#endif
}POLICY_AUDIT_SID_ARRAY,*PPOLICY_AUDIT_SID_ARRAY;
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
向用户展示的审计API 250包括系统审计API 270,或允许执行对诸如计算机200适用的审计功能的API。系统审计API 270可包括设置系统审计策略的API 271。可要求设置系统审计策略271的调用者或用户具有设置系统审计策略的被提高的授权。这样的API的示例如下:
BOOLEAN AuditSetSystemPolicy(
__in_ecount(PolicyCount)PCAUDIT_POLICY_INFORMATION pAuditPolicy,
__in ULONG PolicyCount
);
设置系统审计策略API 271的参数可包括:
pAuditPolicy:[in]指向AUDIT_POLICY_INFORMATION结构的数组的指针。系统审计策略可为经由该参数指定的所有子分类设置。
PolicyCount:[in]表示pAuditPolicy数组中的元素数目。
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。如果pAuditPolicyInformation结构中元素的任何一个无效,则不设置任何审计策略。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
系统审计API 270可包括查询系统审计策略272的API。可要求设置系统审计策略272的调用者和用户具有查询系统审计策略的提高的授权。这样的API的示例如下:
BOOLEAN AuditQuerySystemPolicy(
__in_ecount(PolicyCount)PCGUID pSubCategoryGuids,
__in ULON PolicyCount.
__deref_out_ecount(PolicyCount)PAUDIT_POLICY_INFORMATION*
ppAuditPolicy
);
该API的参数包括:
pSubCategoriesGuids:[in]指向必须为其检索系统审计策略的SubCategoryGuids数组的指针。所指向的GUID的总数为PolicyCount。
PolicyCount:[in]由pSubCategoriesGuids所指向的GUID元素的计数组成的ULONG。这也是从ppAuditPolicy返回的AUDIT_POLICY_INFORMATION元素的数目。
ppAuditPolicy:[out]指向返回AUDIT_POLICY_INFORMATION结构的数组的所分配的单个块缓冲区的指针。元素的总数为PolicyCount。为经由pSubCategoryGuids指定的所有子分类检索系统审计策略。也检索与每一子分类相关联的分类,并经由AuditCategoryGuid传出。缓冲区内的指针是指向所分配的单个块内的位置的指针。所返回的单个缓冲区可通过调用AuditFree来释放。
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_ACCESS_DENIED:执行该操作所需的特权或访问权不存在。
ERROR_INVALID_PARAMETER:该参数构成不正确。
系统审计API 270中的两个API可以是列举分类API 273和列举子分类API274。列举分类的审计API 273的示例如下:
BOOLEAN AuditEnumerateCategories(
__deref_out_ecount(*pCountReturned)GUID**ppAuditCategoriesArray,
__out PULONG pCountReturned
);
该API的参数可包括:
ppAuditCategoriesArray:[out]指向返回由OS理解的分类的所分配的单个块缓冲区的指针。缓冲区内的指针是指向所分配的单个块内的位置的指针。所返回的单个缓冲区必须通过调用AuditFree来释放。
pCountReturned:[out]指向包含ppAuditCategoriesArray数组中元素的数目的变量的指针。
该列举分类的API的返回值可以是成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。
列举子分类274的API的示例如下:
BOOLEAN AuditEnumerateSubCategories(
__in PCGUID pAuditCategory,
__in BOOLEAN bRetrieveAllSubCategories,
__deref_out_ecount(*pCountReturned)PGUID*ppAuditSubCategoriesArray,
__out PULONG pCountReturned
);
该API的参数可包括:
pAuditCategory:[in]应对其列举所有子分类列表的审计分类。
bRetrieveAllSubCategories:[in]如果TRUE,则忽略pAuditCategory参数,并经由ppAuditSubCategoriesArray参数返回系统理解的所有子分类。如果参数为FALSE,则使用AuditCategory参数来检索与pAuditCategory相关联的所有审计子分类。
ppAuditSubCategoriesArray:[out]指向返回OS所理解的子分类的数组的所分配的单个块缓冲区的指针。缓冲区内的指针是指向所分配的单个块内的位置的指针。可通过调用AuditFree来释放所返回的单个缓冲区。
pCountReturned:[out]指向包含ppAuditSubCategoriesArray数组中元素数目的变量的指针。
该列举子分类的API 274的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。
系统审计API 270中的两个API可以是查找分类名的API 275和查找子分类名的API 276。查找分类名的API 275的示例如下:
BOOLEAN AuditLookupCategoryName(
__in PCGUID pAuditCategory,
__deref_out PTSTR*ppszCategoryName
);
该查找分类名API 275的参数包括:
pAuditCategory:[in]必须为其检索显示名的审计分类。
ppszCategoryName:[out]接收分类的名称。这应通过调用AuditFree来释放。
该API的返回值可包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。
查找子分类名的API 276的示例如下:
BOOLEAN AuditLookupSubCategoryName(
__in PCGUID pAuditCategory,
__deref_out PTSTR*ppszSubCategoryName
);
该API的参数包括:
pAuditCategory:[in]指向标识该子分类的GUID的指针。
ppszSubCategoryName:[out]接收子分类的名称。这可通过调用AuditFree来释放。
该查找子分类名的API 276的返回值包括成功时的TRUE和失败时的FALSE。可使用GetLastError()函数来获取更具体的状态码。可返回以下状态码。
ERROR_INVALID_PARAMETER:该参数构成不正确。
图5是可被包含在本地安全授权机构210的审计策略存储215内的示例审计分类和示例审计子分类300的框图。示例审计分类和示例审计子分类300是可使用前述向用户展示的和私有API在每-用户和系统基础上以按粒度级别访问的审计分类和子分类的类型。例如在图5中提供的子分类可以是个别审计事件,尽管应认识到,在替换实施例中,子分类也可以是个别审计事件的分组。
用于帐户管理301的审计分类可包括审计子分类302。某些子分类302可以是用户帐户创建和删除子分类、组创建和删除子分类、口令管理子分类、帐户改变子分类以及信任管理子分类。
认证311的审计分类可包括审计子分类312。某些子分类312可包括凭证确认子分类、科布洛斯(Kerberos)子分类和其它认证活动子分类。
登录/退出321的审计分类可包括审计子分类322。某些子分类322可包括登录子分类、退出子分类、帐户注销、IPSec子分类、特殊登录标识子分类和其它登录活动子分类。
策略改变331的审计分类可包括审计子分类332。某些审计子分类322可包括审计策略改变子分类、帐户策略改变子分类、口令策略改变子分类和其它策略改变子分类。
对象访问341的审计分类可包括审计子分类342。这样的子分类342可包括文件系统子分类、注册表子分类、内核子分类、SAM子分类、其它对象访问子分类、证明服务子分类、应用程序生成的审计子分类、以及软件补丁子分类。〕
特权使用351的审计分类可包括审计子分类352。这样的子分类352可包括敏感特权子分类、非敏感特权子分类、以及其它特权使用活动子分类。
进程跟踪361的审计分类可包括审计子分类362。这样的子分类362可包括进程创建子分类、进程终止子分类、DPAPI活动子分类和其它进程活动子分类。
DS对象访问371的审计子分类可包括用于DS对象访问的审计子分类371。
用于系统381的审计分类可包括审计子分类382。这样的子分类可包括安全系统状态子分类、安全模块加载子分类、和其它安全系统活动子分类。
图6是计算机400的框图,该计算机可以是图1中所示的计算机110或计算环境100。计算机400可包括如以图2-5所描述的本地安全授权机构和向用户展示的审计API。计算机400可由第一用户411和第二用户431访问。第一用户411和第二用户431能够访问计算机400。例如,第一用户411可按照不同于第二用户431登录到计算机400上的方式来登录到计算机400上。以此方式,计算机400以及计算机400的审计员可辨别第一和第二用户411、431中的哪一个正在使用它。
除如此处所述通过允许执行审计分类内的个别子分类审计来提供按粒度的审计以外,计算机400或本地安全授权机构可允许诸如第一用户411和第二用户431的每一用户实现每-用户的审计。即,可在不考虑对第二用户431启用或禁用的审计分类和子分类的情况下对第一用户411启用或禁用审计分类或子分类。每-用户审计策略可以是相关于系统审计策略的。对同一子分类的每-用户审计策略可为每-用户建立,使得它被启用或禁用。如果系统禁用了审计,则用户可设置一种蕴涵以启用该审计。如果系统启用了审计,则可将用户排除在禁用审计之外。在替换实施例中,即使系统启用了审计,也可在每-用户的基础上禁用。
例如,计算机可包括第一和第二审计分类412、422,它们各自可以是如图5中所述的分类。第一和第二审计分类412、422中的每一个可包括第一、第二和第三审计子分类414-416、424-426。子分类414-416、424-426可以是诸如图5中所述的个别审计事件,或可以是每一子分类412、422内的个别审计事件的分组。
审计员可与第一用户411相关联地启用第一审计分类412中的第一和第三审计子分类414-416,且可禁用或不启用或选择第二审计子分类415。如果子分类是个别审计事件的分组,则启用或禁用子分类可分别导致启用或禁用该子分类内的所有个别审计事件。
不考虑为第一用户启用的这些分类412、422或子分类414-416、424-426,审计员可与第二用户431相关联地启用第一审计分类412的第一审计子分类414,和不启用第一审计分类412的第二和第三子分类415、416。审计员还可与第二用户431相关联地启用第二审计分类422的所有子分类424-426。因此,审计员可在不考虑为其他用户启用的事件的情况下与一个用户相关联地启用审计分类内的个别审计事件或子分类。
图7描述了用于在每-用户或系统基础上实现按粒度审计策略的示例方法500的流程图。方法500在步骤510处以调用诸如在图4中为示例目的描述的API的向用户展示的适用API来开始。这样的调用可由审计员作出。在步骤515,可对计算机上的本地安全授权机构或其他适当的实体进行远程过程调用。例如,这样的调用可由计算机的操作系统执行,且可向用户展示审计功能以供选择。例如,调用可允许用户选择“设置审计”或“查询审计”功能。示例功能在图3中描述,然而还可向用户提供其他这样的功能。
审计员可在步骤520处选择功能。在步骤525处,审计员可选择审计分类或子分类,将按其执行功能。子分类可以是个别审计事件。示例分类和子分类在图5中描述,然而在替换实施例中还有其他分类、子分类或个别审计事件可用。在步骤530处,可通过私有API远程过程调用接口来调用功能。示例私有API远程过程调用接口在图3中描述,然而还可在替换实施例中提供其他这样的接口。在步骤535处,该功能可被完成,并向用户提供适当的响应。
图8是可被传入或传出的API,且提供与审计子分类或审计分类相关联的审计策略信息的结构600的示例。每一审计分类、子分类和个别审计事件可由全局唯一标识符(GUID)来唯一标识。因此,例如每一审计子分类可被称为AuditSubCategoryGuid,如在结构600的行605中所示。为子分类使用GUID可允许将来向审计策略添加应用程序专用扩展。可在结构600的行610,即AuditingInformation成员中指定审计信息。当查询策略时,AuditCategoryGuid即行615可表示AuditCategoryGuid 605所属的分类。这可允许应用程序将由GUID标识的审计子分类与分类相关联。
以此方式使用子分类来指定审计策略可允许将来将子分类分成两个或多个子分类。例如,如果较老的应用程序为稍后被分成两个子分类的子分类设置了审计策略,则该子分类所分成的所有子分类也可被改变。而且,允许在子分类级别上建立策略可允许将来将子分类移入另一子分类。
图9描述了用于提供为如由SID(即安全标识符)标识的用户建立的审计策略的示例数据结构700。图10和图11分别描述了用于提供审计分类和审计子分类的示例数据结构800、900,它们在可用的本地安全授权机构的策略存储中有效。
本发明的方法可用硬件、软件或其适当的组合来实现。因此,本发明的方法和装置或其某些方面或部分可采取具体化为计算机可读介质的程序代码(即,指令)形式。执行用于执行如图2-11所述和所要求保护的实施例的方法各步骤的程序代码的处理器构成了具体化本发明的计算环境。在可编程计算机上的程序代码执行的情况中,计算环境一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)、至少一个输入设备和至少一个输出设备。一个或多个程序是优选地用高级过程或面向对象程序设计语言来实现以便与计算环境通信。然而,如有需要,程序可用汇编或机器语言实现。在任何情况中,语言可以是编译或解释语言,并与硬件实现组合。
尽管结合各个附图的具体示例描述了本发明,但可以理解,可使用其他实施例,且可对所述实施例进行修改和添加以便实现本发明的相同功能,而不与之背离。为解释目的提供了示例,而示例在任何方面都不旨在限制如权利要求书所定义的本发明的范围。总而言之,本发明在任何方面都不限于此处所提供和描述的示例。从而,本发明应不限于任何单个实施例,而应根据所附权利要求书的宽度和范围来解释。
Claims (20)
1.一种其上存储程序代码的计算机可读介质,当所述代码由计算环境执行时,使所述计算环境执行以下步骤:
接收用于执行与第一审计事件相关联的审计功能的远程过程调用,所述第一审计事件选自多个审计事件,所述远程过程调用由所述计算环境的实体执行以作为所述第一审计事件被选中的结果;以及
执行所述审计功能,借此所述审计功能被应用于审计分类的第一审计子分类,所述审计分类包括多个审计子分类。
2.如权利要求1所述的计算机可读介质,其特征在于,其上还存储有程序代码,当它由所述计算环境执行时使所述计算环境执行:
向所述实体返回执行所述审计功能的结果。
3.如权利要求1所述的计算机可读介质,其特征在于,所述第一审计子分类是个别审计事件。
4.如权利要求1所述的计算机可读介质,其特征在于,所述审计功能设置审计策略,且所述执行所述审计功能导致审计所述第一审计子分类。
5.如权利要求1所述的计算机可读介质,其特征在于,所述审计功能查询审计策略,且所述执行所述审计功能导致获取所述第一审计子分类的审计结果。
6.如权利要求1所述的计算机可读介质,其特征在于,所述执行审计功能导致获取所述第一审计子分类的名称。
7.如权利要求1所述的计算机可读介质,其特征在于,其上还存储有当由所述计算环境执行时使所述计算环境执行以下步骤的程序代码:
接收用于执行与第二审计事件相关联的审计功能的第二远程过程调用,所述第二审计事件选自所述多个审计事件,所述第二远程过程调用由所述实体执行作为所述第二审计事件被选中的结果;以及
执行与第二审计事件相关联的所述审计功能,由此所述与第二审计事件相关联的审计功能被应用于所述审计分类的所述多个审计子分类中的每一审计子分类。
8.如权利要7求所述的计算机可读介质,其特征在于,其中执行所述与所述第二审计事件相关联的审计功能导致获取所述审计分类的所述审计子分类的列表。
9.一种其上存储程序代码的计算机可读介质,当所述程序代码由计算环境执行时使所述计算环境执行以下步骤:
接收用于执行与第一审计事件相关联的审计功能的远程过程调用,所述第一审计事件选自多个审计事件;以及
执行所述审计功能,
其中所述多个审计事件包括仅与所述计算环境的第一用户相关联的每-用户审计事件和与所述计算环境的所述第一用户以及存在的每一其他用户相关联的系统审计事件,且
其中所述远程过程调用被执行,作为所述第一审计事件被选中的结果。
10.如权利要求9所述的计算机可读介质,其特征在于,其上还存储有程序代码,当它由所述计算环境执行时使所述计算环境执行:
返回所述审计功能的执行结果。
11.如权利要求9所述的计算机可读介质,其特征在于,其中执行所述审计功能导致所述审计功能被应用于审计分类的第一审计子分类,所述审计分类包括多个审计子分类。
12.如权利要求11所述的计算机可读介质,其特征在于,所述第一审计子分类是个别审计事件。
13.如权利要求11所述的计算机可读介质,其特征在于,所述审计功能设置审计策略,且所述执行所述审计功能导致在每-用户的基础上审计所述第一审计子分类。
14.如权利要求11所述的计算机可读介质,其特征在于,所述审计功能设置审计策略,且所述执行所述审计功能导致在系统基础上审计所述第一审计子分类。
15.如权利要求11所述的计算机可读介质,其特征在于,所述审计功能查询审计策略,且所述执行所述审计功能导致在每-用户的基础上获取所述第一审计子分类的审计结果。
16.如权利要求11所述的计算机可读介质,其特征在于,所述审计功能查询审计策略,且所述执行所述审计功能导致在系统基础上获取所述第一审计子分类的审计结果。
17.如权利要求11所述的计算机可读介质,其特征在于,所述执行所述审计功能导致获取所述第一审计子分类的名称。
18.如权利要求9所述的计算机可读介质,其特征在于,所述执行所述审计功能导致列举所述计算环境中的每一用户,为他们定义了每-用户策略。
19.一种方法,包括:
向计算环境的第一用户展示多个审计事件,所述多个审计事件包括仅与所述第一用户相关联的每-用户审计事件以及与所述第一用户和所述计算环境中存在的每一个其他用户相关联的系统审计事件;
接收从所述多个审计事件中对第一审计事件的选择;
执行用于执行与所述第一审计事件相关联的审计功能的远程过程调用;以及
接收所述审计功能的执行结果以响应于执行所述远程过程调用。
20.如权利要求19所述的方法,其特征在于,执行所述审计功能使得所述审计功能被应用于审计分类的第一审计子分类,所述审计分类包括多个审计子分类。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US69816005P | 2005-07-11 | 2005-07-11 | |
US60/698,160 | 2005-07-11 | ||
US11/271,014 | 2005-11-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101218568A true CN101218568A (zh) | 2008-07-09 |
Family
ID=39624282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800251342A Pending CN101218568A (zh) | 2005-07-11 | 2006-07-11 | 每-用户和系统粒度的审计策略实现 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101218568A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103283202A (zh) * | 2010-07-28 | 2013-09-04 | 麦克菲公司 | 用于针对恶意软件的网络级保护的系统和方法 |
US9356909B2 (en) | 2011-10-17 | 2016-05-31 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US9413785B2 (en) | 2012-04-02 | 2016-08-09 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US9467470B2 (en) | 2010-07-28 | 2016-10-11 | Mcafee, Inc. | System and method for local protection against malicious software |
US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US9866528B2 (en) | 2011-02-23 | 2018-01-09 | Mcafee, Llc | System and method for interlocking a host and a gateway |
US9864868B2 (en) | 2007-01-10 | 2018-01-09 | Mcafee, Llc | Method and apparatus for process enforced configuration management |
US10171611B2 (en) | 2012-12-27 | 2019-01-01 | Mcafee, Llc | Herd based scan avoidance system in a network environment |
CN109344621A (zh) * | 2018-09-17 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种安全基线检测方法、装置、设备及可读存储介质 |
-
2006
- 2006-07-11 CN CNA2006800251342A patent/CN101218568A/zh active Pending
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10360382B2 (en) | 2006-03-27 | 2019-07-23 | Mcafee, Llc | Execution environment file inventory |
US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US9864868B2 (en) | 2007-01-10 | 2018-01-09 | Mcafee, Llc | Method and apparatus for process enforced configuration management |
US9832227B2 (en) | 2010-07-28 | 2017-11-28 | Mcafee, Llc | System and method for network level protection against malicious software |
US9467470B2 (en) | 2010-07-28 | 2016-10-11 | Mcafee, Inc. | System and method for local protection against malicious software |
CN103283202A (zh) * | 2010-07-28 | 2013-09-04 | 麦克菲公司 | 用于针对恶意软件的网络级保护的系统和方法 |
US9866528B2 (en) | 2011-02-23 | 2018-01-09 | Mcafee, Llc | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US10652210B2 (en) | 2011-10-17 | 2020-05-12 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
US9356909B2 (en) | 2011-10-17 | 2016-05-31 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US9882876B2 (en) | 2011-10-17 | 2018-01-30 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
US9413785B2 (en) | 2012-04-02 | 2016-08-09 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US10171611B2 (en) | 2012-12-27 | 2019-01-01 | Mcafee, Llc | Herd based scan avoidance system in a network environment |
US10205743B2 (en) | 2013-10-24 | 2019-02-12 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
US11171984B2 (en) | 2013-10-24 | 2021-11-09 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
US10645115B2 (en) | 2013-10-24 | 2020-05-05 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
CN109344621A (zh) * | 2018-09-17 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种安全基线检测方法、装置、设备及可读存储介质 |
CN109344621B (zh) * | 2018-09-17 | 2021-10-22 | 郑州云海信息技术有限公司 | 一种安全基线检测方法、装置、设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101218568A (zh) | 每-用户和系统粒度的审计策略实现 | |
CN110999250B (zh) | 在计算环境中监视特权用户和检测异常活动的方法、系统、介质 | |
US20070011746A1 (en) | Per-user and system granular audit policy implementation | |
US8910048B2 (en) | System and/or method for authentication and/or authorization | |
JP4729262B2 (ja) | ロケーション・アウェアネスのアーキテクチャとシステム | |
US9294466B2 (en) | System and/or method for authentication and/or authorization via a network | |
US9053302B2 (en) | Obligation system for enterprise environments | |
US7647625B2 (en) | System and/or method for class-based authorization | |
US8667578B2 (en) | Web management authorization and delegation framework | |
US7296235B2 (en) | Plugin architecture for extending polices | |
US20200195693A1 (en) | Security System Configured to Assign a Group Security Policy to a User Based on Security Risk Posed by the User | |
US20070079357A1 (en) | System and/or method for role-based authorization | |
US11995214B2 (en) | System and method for management of policies and user data during application access sessions | |
US20230259548A1 (en) | Virtual file library | |
US7788706B2 (en) | Dynamical dual permissions-based data capturing and logging | |
US11017109B1 (en) | Dynamic sandboxing of user data | |
JP4429229B2 (ja) | ディレクトリ情報提供方法、ディレクトリ情報提供装置、ディレクトリ情報提供システム、及びプログラム | |
US8627072B1 (en) | Method and system for controlling access to data | |
CN111400750B (zh) | 基于访问过程判定的可信度量方法和装置 | |
JP4489634B2 (ja) | JavaサーブレットによるWebサーバシステム | |
Montgomery | A Privacy Risk Scoring Framework for Mobile |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080709 |