Sicherheitsverwaltungsfunktionen
Dieser Abschnitt enthält Themen für die folgenden Gruppen von Funktionen:
- Rückruffunktionen für Anlagen
- Funktionen der Anlagen-Engine
- LSA-Richtlinienfunktionen
- Verwaltete Dienstkontofunktionen
- Kennwortfilterfunktionen
- Sicherere Funktionen
Rückruffunktionen für Anlagen
Die folgenden Unterstützungsfunktionen werden vom Security Configuration-Toolsatz bereitgestellt und können von Anlagen-Engines und Erweiterungs-Snap-Ins zum Lesen und Schreiben von Konfigurationsdaten verwendet werden.
| Rückruffunktion | BESCHREIBUNG |
|---|---|
| PFSCE _ FREE _ INFO |
Wird verwendet, um von diesen Unterstützungsfunktionen belegten Arbeitsspeicher freizugeben. |
| _PFSCE-PROTOKOLLINFORMATIONEN _ |
Wird verwendet, um Nachrichten in der Konfigurationsprotokolldatei oder der Analyseprotokolldatei zu protokollieren. |
| _PFSCE-ABFRAGEINFORMATIONEN _ |
Wird verwendet, um die Konfigurations- und Analyseinformationen für einen bestimmten Dienst abzufragen. |
| PFSCE _ SET _ INFO |
Wird verwendet, um Konfigurations- und Analyseinformationen für einen bestimmten Dienst festzulegen. |
Funktionen der Anlagen-Engine
| Funktion | BESCHREIBUNG |
|---|---|
| SceSvcAttachmentAnalyze |
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System analysiert wird. |
| SceSvcAttachmentConfig |
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System konfiguriert ist. |
| SceSvcAttachmentUpdate |
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn sie eine Konfigurationsupdateanforderung von der Erweiterung für das Anfüge-Snap-In empfängt. |
LSA-Richtlinienfunktionen
Die folgenden Themen enthalten Referenzinformationen zu den Richtlinienfunktionen der lokalen Sicherheitsautorität (Local Security Authority, LSA).
| Thema | BESCHREIBUNG |
|---|---|
| Richtlinienfunktionen |
Detailfunktionen, die zum Öffnen des lokalen Richtlinienobjekts und zum Festlegen oder Abrufen globaler Richtlinieninformationen verwendet werden. |
| Kontofunktionen |
Details zu Funktionen, die zum Verwalten von Kontoberechtigungen und zum Erstellen und Löschen von Benutzerkonten verwendet werden. |
| Vertrauenswürdige Domänenfunktionen |
Detailsfunktionen zum Erstellen und Löschen von vertrauenswürdigen Domänenbeziehungen sowie zum Festlegen und Abrufen von Informationen zu diesen vertrauenswürdigen Domänen. |
| Private Datenfunktionen |
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData. |
| Sonstige Funktionen |
Detailfunktionen, die nicht an anderer Stelle beschrieben werden. |
Richtlinienfunktionen
Die folgenden Funktionen enthalten Benutzerkonten und vertrauenswürdige Domänen, empfangen Richtlinienänderungsbenachrichtigungen sowie Nachschlagekontonamen und SIDs.
| Funktion | BESCHREIBUNG |
|---|---|
| LsaEnumerateAccountsWithUserRight |
Listet alle Konten auf, die über eine angegebene Benutzerberechtigung verfügen. |
| LsaEnumerateTrustedDomainsEx |
Listet die vertrauenswürdigen Domänen auf. |
| LsaLookupNames |
Karten die angegebenen Namen ihren SIDs zu. Gibt die SID als RID-/Domänen-SID-Paar zurück. |
| LsaLookupNames2 |
Karten die angegebenen Namen ihren SIDs zu. Gibt die SID als einzelnes Element zurück. |
| LsaLookupPrivilegeValue |
Ruft den lokal eindeutigen Bezeichner (LUID) ab, der von der lokalen Sicherheitsautorität (Local Security Authority, LSA) verwendet wird, um den angegebenen Berechtigungsnamen darzustellen. |
| LsaLookupSids |
Karten die angegebenen Kontonamen ihren SIDs zu. |
| LsaRegisterPolicyChangeNotification |
Registriert ein Ereignisobjekt, um Benachrichtigungen zu erhalten, wenn sich die lokalen Richtlinieninformationen ändern. |
| LsaUnregisterPolicyChangeNotification |
Aufheben der Registrierung eines Ereignisobjekts, das Richtlinienänderungsbenachrichtigungen empfängt. |
Kontofunktionen
Mit den folgenden Funktionen werden Berechtigungen für ein Konto hinzugefügt, aufzählen und löschen.
| Funktion | BESCHREIBUNG |
|---|---|
| LsaAddAccountRights |
Hinzufügen von Berechtigungen zu einem Konto. Wenn das Konto noch nicht vorhanden ist, wird es erstellt. |
| LsaEnumerateAccountRights |
Aufzählen der einem Konto gewährten Berechtigungen. |
| LsaRemoveAccountRights |
Entfernen von Berechtigungen aus einem Konto. Wenn alle Berechtigungen entfernt werden, wird das Konto gelöscht. |
Vertrauenswürdige Domänenfunktionen
Die folgenden Funktionen erstellen, aufzählen und löschen vertrauenswürdige Domänen und legen vertrauenswürdige Domäneninformationen fest und rufen sie ab.
| Funktion | BESCHREIBUNG |
|---|---|
| LsaCreateTrustedDomainEx |
Erstellt ein neues TrustedDomain-Objekt. |
| LsaDeleteTrustedDomain |
Entfernt ein TrustedDomain-Objekt. |
| LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Listet die Domänen auf, denen das lokale System derzeit vertraut. |
| LsaOpenTrustedDomainByName |
Öffnet ein Handle für ein TrustedDomain-Objekt. |
| LsaQueryTrustedDomainInfo |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch SID angegeben. |
| LsaQueryTrustedDomainInfoByName |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch den Namen angegeben. |
| LsaSetTrustedDomainInfoByName |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch den Namen angegeben. |
| LsaSetTrustedDomainInformation |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch SID angegeben. |
Private Datenfunktionen
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData.
| Funktion | BESCHREIBUNG |
|---|---|
| LsaRetri browsePrivateData |
Ruft eine Zeichenfolge ab und entschlüsselt sie. |
| LsaStorePrivateData |
Verschlüsselt und speichert eine Zeichenfolge. |
Sonstige Funktionen
Die LSA-Richtlinien-API verfügt über die folgenden drei Funktionen, die nicht in eine der anderen Kategorien von LSA Policy-Funktionen passen.
| Funktion | BESCHREIBUNG |
|---|---|
| LsaClose |
Schließt ein Handle für ein Policy-Objekt oder ein TrustedDomain-Objekt. |
| LsaFreeMemory |
Gibt einen Puffer frei, der von einer LSA-Funktion zugeordnet wird. |
| LsaNtStatusToWinError |
Konvertiert einen NTSTATUS-Wert in einen Windows Fehlercode. |
Verwaltete Dienstkontofunktionen
Die folgenden Funktionen werden verwendet, um verwaltete Dienstkonten zu erstellen, aufzählen, zu suchen und zu löschen.
| Funktion | BESCHREIBUNG |
|---|---|
| NetAddServiceAccount |
Erstellt ein verwaltetes Dienstkonto. |
| NetEnumerateServiceAccounts |
Enumeriert die Serverkonten auf dem angegebenen Server. |
| NetIsServiceAccount |
Testet, ob das angegebene Dienstkonto im Netlogon-Speicher auf dem angegebenen Server vorhanden ist. |
| NetRemoveServiceAccount |
Löscht das angegebene Dienstkonto aus der Active Directory-Datenbank. |
Kennwortfilterfunktionen
Die folgenden Kennwortfilterfunktionen werden von benutzerdefinierten Kennwortfilter-DLLs implementiert, um Kennwortfilterung und Kennwortänderungsbenachrichtigungen zu ermöglichen.
| Funktion | BESCHREIBUNG |
|---|---|
| InitializeChangeNotify |
Gibt an, dass eine Kennwortfilter-DLL initialisiert wird. |
| PasswordChangeNotify |
Gibt an, dass ein Kennwort geändert wurde. |
| PasswordFilter |
Überprüft ein neues Kennwort basierend auf der Kennwortrichtlinie. |
Sicherere Funktionen
Die folgenden sichereren Funktionen können verwendet werden, um die sicherere Ebene von ausführbaren Dateien zu überprüfen und Ereignisse zu protokollieren.
| Funktion | BESCHREIBUNG |
|---|---|
| SaferCloseLevel | Schließt ein SAFER _ LEVEL _ HANDLE, das mithilfe der SaferIdentifyLevel-Funktion oder der SaferCreateLevel-Funktion geöffnet wurde. |
| SaferComputeTokenFromLevel | Schränkt ein Token mithilfe von Einschränkungen ein, die durch ein SAFER _ LEVEL _ HANDLE angegeben werden. |
| SaferCreateLevel | Öffnet ein _ SICHERERES _ LEVEL-HANDLE. |
| SaferGetLevelInformation | Ruft Informationen zu einer Richtlinienebene ab. |
| SaferGetPolicyInformation | Ruft Informationen zu einer Richtlinie ab. |
| SaferIdentifyLevel | Ruft Informationen zu einer Ebene ab. |
| SaferiIsExecutableFileType | Bestimmt, ob eine angegebene Datei eine ausführbare Datei ist. |
| SaferRecordEventLogEntry | Sendet eine Nachricht an das Ereignisprotokoll. |
| SaferSetLevelInformation | Legt die Informationen zu einer Richtlinienebene fest. |
| SaferSetPolicyInformation | Legt die globalen Richtliniensteuerelemente fest. |