【技术实现步骤摘要】
本专利技术涉及操作系统的安全机制,尤其涉及审核策略。
技术介绍
审核对对象的访问是操作系统的安全机制的有价值的部分。安全审核事件显示出对象访问的历史(一般是谁以及在何时访问了什么对象),有助于诊断数据访问。这对于诸如机构中的数据安全缺口的法庭调查这样的情况有着实际含义。为了改进系统性能并消除噪声,由操作系统展示审核规则。这允许系统管理员指定根据其来触发安全审核事件的标准。例如,管理员可以对特定对象类型(例如文件对象) 的对象访问事件、特定主体(用户/组)、访问决策(许可或拒绝)或特定许可设置审核规则。审核策略还允许管理员配置资源管理器范围的审核策略。这种方案允许监视对象相关的活动而无须跨系统中的每个个别对象而复制和同步审核策略。然而,该方法的缺陷在于,它生成了许多噪声、洪泛(flood) 了系统日志并且降低了总体系统性能。由此,该方法仅被推荐用于,当访问被拒这样的差错的源从用户应用不是非常可见时,对访问被拒问题的诊断情况。
技术实现思路
提供本
技术实现思路
以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表性概念。本
技术实现思路
不旨在标识出所要求保护的...
【技术保护点】
1.在一计算环境中,一种在至少一个处理器上执行的方法,包括:确定(304)资源是否具有至少一个相关联的审核规则,所述审核规则包括任何每资源审核规则或任何资源管理器审核规则或两者在内,并且如果是,则处理(308)每个规则,所述处理每个规则包括相对于与所述资源相关联的元数据来评估(312)每个适用的规则以确定是否要生成审核事件,并且如果是,则生成(316)和所述审核规则相对应的审核事件。
【技术特征摘要】
2010.03.24 US 12/730,2411.在一计算环境中,一种在至少一个处理器上执行的方法,包括确定(304)资源是否具有至少一个相关联的审核规则,所述审核规则包括任何每资源审核规则或任何资源管理器审核规则或两者在内,并且如果是,则处理(308)每个规则,所述处理每个规则包括相对于与所述资源相关联的元数据来评估(312)每个适用的规则以确定是否要生成审核事件, 并且如果是,则生成(316)和所述审核规则相对应的审核事件。2.如权利要求1所述的方法,其特征在于,所述至少一个审核规则包括具有和元数据内包括的信息相对应的至少一个变量的条件表达式,并且其中相对于所述元数据评估所述规则包括评估所述条件表达式。3.如权利要求1所述的方法,其特征在于,生成所述审核事件,并且所述方法还包括 使用所述审核事件来执行法庭分析、资源监视,或模式检测,或者使用所述审核事件来测试候选访问策略。4.在一种计算环境中的一种包括安全机制(110)和事件日志(124)的系统,所述安全机制(110)包括审核逻辑(118),所述审核逻辑(118)相对于审核策略来处理与资源(102) 相关联的元数据(104),所述审核处理包括包含条件表达式的至少一个审核规则(130),所述元数据包括与所述条件表达式中的至少一个变量相对应的信息,所述审核逻辑被配置成在满足所述条件表达式时生成审核事件,所述事件日志(124)记录所述审核事件。5.如权利要求4所述的系统,其特征在于,所述安全机制包括审核和授权引擎,...
【专利技术属性】
技术研发人员:R·P·佩鲁马尔,N·本兹维,A·沙缪尔荪,J·B·汉姆比林,R·卡拉赫,Z·李,M·H·沃尔尼克,C·劳,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。