Freigeben über


SeOpenObjectAuditAlarm-Funktion (ntifs.h)

Die SeOpenObjectAuditAlarm-Routine generiert Überwachungs- und Alarmmeldungen, wenn versucht wird, ein Objekt zu öffnen.

Syntax

void SeOpenObjectAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

Parameter

[in] ObjectTypeName

Zeiger auf eine NULL-endende Zeichenfolge, die den Typ des Objekts angibt, auf das der Client Zugriff anfordert. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.

[in, optional] Object

Adresse des geöffneten Objekts. Dieser Wert wird nur zum Eingeben von Protokollmeldungen benötigt. Wenn der geöffnete Versuch fehlschlägt, wird der Wert von Object ignoriert. Andernfalls muss sie bereitgestellt werden.

[in, optional] AbsoluteObjectName

Zeiger auf eine NULL-endende Zeichenfolge, die den Namen des geöffneten Objekts angibt. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.

[in] SecurityDescriptor

Ein Zeiger auf die Sicherheitsbeschreibungsstruktur für das geöffnete Objekt.

[in] AccessState

Zeiger auf eine Zugriffsstatusstruktur, die den Betreffkontext des Objekts, die verbleibenden gewünschten Zugriffstypen, gewährte Zugriffstypen und optional einen Berechtigungssatz enthält, um anzugeben, welche Berechtigungen zum Zulassen des Zugriffs verwendet wurden.

[in] ObjectCreated

Legen Sie auf TRUE fest, wenn der Öffnen-Vorgang bewirkt, dass ein neues Objekt erstellt wird, oder FALSE , wenn ein vorhandenes Objekt geöffnet wird.

[in] AccessGranted

Legen Sie auf TRUE fest, wenn der offene Zugriff basierend auf einer vorherigen Zugriffs- oder Berechtigungsprüfung gewährt wurde, oder AUF FALSE , wenn er verweigert wurde.

[in] AccessMode

Zugriffsmodus, der für die Zugriffsüberprüfung verwendet wird. Entweder UserMode oder KernelMode.

[out] GenerateOnClose

Zeiger auf ein Flag, das von der Überwachungsgenerierungsroutine festgelegt wird, wenn SeOpenObjectAuditAlarm zurückgegeben wird.

Rückgabewert

Keine

Bemerkungen

SeOpenObjectAuditAlarm generiert alle erforderlichen Überwachungs- oder Alarmmeldungen für Benutzermoduszugriffe. Für Kernelmoduszugriffe werden keine Meldungen generiert.

Vor dem Aufruf von SeOpenObjectAuditAlarm muss der Aufrufer SeLockSubjectContext aufrufen, um die primären Token des Aufrufers und das Identitätswechseltoken des Aufrufers zu sperren. Nach dem Aufruf von SeOpenObjectAuditAlarm muss der Aufrufer SeUnlockSubjectContext aufrufen, um diese Token freizugeben.

Weitere Informationen zur Sicherheit und Zugriffssteuerung finden Sie unter Windows-Sicherheitsmodell für Treiberentwickler und in der Dokumentation zu diesen Themen im Windows SDK.

Anforderungen

Anforderung Wert
Zielplattform Universell
Header ntifs.h (include Ntifs.h)
Bibliothek NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL

Weitere Informationen

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext

SeOpenObjectForDeleteAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING