安全事件日志中的 READ_CONTROL 是什么意思?

安全事件日志中的 READ_CONTROL 是什么意思?

我被要求创建文件访问的审计记录。日志简直令人应接不暇。双击记事本中打开的文本文件会创建超过 10 个日志条目,事件 ID 为 4663。我多次看到 READ_CONTROL 访问。这是什么?哪种访问权限会生成此信息?

我想减少数据收集并仅记录那些反映实际打开文件进行读写的数据。

这是在 Windows Server 2008 上。

答案1

一种更简单的方法是过滤事件 ID 4656(打开文件)和 4658(关闭文件)以及 4663;这样,您可以看到谁打开/关闭了文件,以及在实际使用访问权限时与这些事件一起记录的相应 READ_CONTROL。

这是一个很好的参考: https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4663

如果这对您不起作用或者我没有解决您的问题,请告诉我,我可以更具体一点。

答案2

READ_CONTROL是允许您查看对象权限的权限(例如一份文件)

来自MSDN标准访问权限

持续的 意义
删除 删除对象的权限。
读取控制 读取对象中信息的权利安全描述符,不包括系统访问控制列表(SACL)。
同步 使用对象进行同步的权限。这使线程能够等待,直到对象处于信号状态。某些对象类型不支持此访问权限。
写入 DAC 修改的权利自主访问控制列表(DACL)在对象的安全描述符中。
写所有者 更改对象的安全描述符中的所有者的权限。

相关内容