SeOpenObjectAuditAlarm-Funktion (ntifs.h)
Die SeOpenObjectAuditAlarm-Routine generiert Überwachungs- und Alarmmeldungen, wenn versucht wird, ein Objekt zu öffnen.
Syntax
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Parameter
[in] ObjectTypeName
Zeiger auf eine NULL-endende Zeichenfolge, die den Typ des Objekts angibt, auf das der Client Zugriff anfordert. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.
[in, optional] Object
Adresse des geöffneten Objekts. Dieser Wert wird nur zum Eingeben von Protokollmeldungen benötigt. Wenn der geöffnete Versuch fehlschlägt, wird der Wert von Object ignoriert. Andernfalls muss sie bereitgestellt werden.
[in, optional] AbsoluteObjectName
Zeiger auf eine NULL-endende Zeichenfolge, die den Namen des geöffneten Objekts angibt. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.
[in] SecurityDescriptor
Ein Zeiger auf die Sicherheitsbeschreibungsstruktur für das geöffnete Objekt.
[in] AccessState
Zeiger auf eine Zugriffsstatusstruktur, die den Betreffkontext des Objekts, die verbleibenden gewünschten Zugriffstypen, gewährte Zugriffstypen und optional einen Berechtigungssatz enthält, um anzugeben, welche Berechtigungen zum Zulassen des Zugriffs verwendet wurden.
[in] ObjectCreated
Legen Sie auf TRUE fest, wenn der Öffnen-Vorgang bewirkt, dass ein neues Objekt erstellt wird, oder FALSE , wenn ein vorhandenes Objekt geöffnet wird.
[in] AccessGranted
Legen Sie auf TRUE fest, wenn der offene Zugriff basierend auf einer vorherigen Zugriffs- oder Berechtigungsprüfung gewährt wurde, oder AUF FALSE , wenn er verweigert wurde.
[in] AccessMode
Zugriffsmodus, der für die Zugriffsüberprüfung verwendet wird. Entweder UserMode oder KernelMode.
[out] GenerateOnClose
Zeiger auf ein Flag, das von der Überwachungsgenerierungsroutine festgelegt wird, wenn SeOpenObjectAuditAlarm zurückgegeben wird.
Rückgabewert
Keine
Bemerkungen
SeOpenObjectAuditAlarm generiert alle erforderlichen Überwachungs- oder Alarmmeldungen für Benutzermoduszugriffe. Für Kernelmoduszugriffe werden keine Meldungen generiert.
Vor dem Aufruf von SeOpenObjectAuditAlarm muss der Aufrufer SeLockSubjectContext aufrufen, um die primären Token des Aufrufers und das Identitätswechseltoken des Aufrufers zu sperren. Nach dem Aufruf von SeOpenObjectAuditAlarm muss der Aufrufer SeUnlockSubjectContext aufrufen, um diese Token freizugeben.
Weitere Informationen zur Sicherheit und Zugriffssteuerung finden Sie unter Windows-Sicherheitsmodell für Treiberentwickler und in der Dokumentation zu diesen Themen im Windows SDK.
Anforderungen
Anforderung | Wert |
---|---|
Zielplattform | Universell |
Header | ntifs.h (include Ntifs.h) |
Bibliothek | NtosKrnl.lib |
DLL | NtosKrnl.exe |
IRQL | PASSIVE_LEVEL |
Weitere Informationen
SeOpenObjectForDeleteAuditAlarm