Granskningsprincip

SCWAudit.inf är den granskningssäkerhetsmall som ingår i Guiden Säkerhetskonfiguration (SCW). SCWAudit.inf definierar systemets åtkomstkontrollistor (SACL) som hjälper till att identifiera manipulering eller försök till manipulering av operativsystemet. Med dessa åtkomstkontrollistor kan systemet registrera åtkomst av alla användare till alla körbara filer eller konfigurationsfiler i Windows katalogstruktur, och ändringar av tillstånd för eller konfiguration av Windows tjänster. Åtkomstkontrollistorna orsakar inte att Windows övervakar filer och kataloger som huvudsakligen används för andra ändamål, och de skapar så få loggade händelser som möjligt. Däremot kan installation av ett Service Pack, återställning av information från en säkerhetskopia, eller ändrade behörigheter på alla eller några kataloger i Windows resultera i att ett stort antal händelser skapas.

Återställningsfunktionen i guiden Konfigurera säkerhet inkluderar inte möjligheten att återställa åtkomstkontrollistor. Om du inte vill tillämpa säkerhetsmallen SCWAudit.inf kan du avmarkera kryssrutan Inkludera även säkerhetsmallen SCWAudit.inf. SCWAudit.inf konfigurerar åtkomstkontrollistor så att filåtkomst kan granskas på sidan Granskningsprincip.

Om du vill visa information om systemåtkomstkontrollistor för filsystemet och registret som definieras i SCWAudit.inf kan du öppna SCWAudit.inf från snapin-modulen Säkerhetsmallar. SCWAudit.inf finns i %WINDIR%\Security\Msscw\Kbs.

Det finns även en annan säkerhetsmall, DefaultSACLs.inf. På så vis kan du återställa de vanliga systemåtkomstkontrollistorna om SCWAudit.inf inte fungerar som väntat. De standardsystemåtkomstkontrollistor som tillämpas är de som installerades med Windows, inte de systemåtkomstkontrollistor som fanns innan du tillämpade SCWAudit.inf. Om du vill tillämpa DefaultSACLs.inf skriver du följande i Kommandotolken:

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb