Sicherheitsverwaltungsfunktionen

Dieser Abschnitt enthält Themen für die folgenden Gruppen von Funktionen:

Rückruffunktionen für Anlagen

Die folgenden Unterstützungsfunktionen werden vom Security Configuration-Toolsatz bereitgestellt und können von Anlagen-Engines und Erweiterungs-Snap-Ins zum Lesen und Schreiben von Konfigurationsdaten verwendet werden.

Rückruffunktion BESCHREIBUNG
PFSCE _ FREE _ INFO
Wird verwendet, um von diesen Unterstützungsfunktionen belegten Arbeitsspeicher freizugeben.
_PFSCE-PROTOKOLLINFORMATIONEN _
Wird verwendet, um Nachrichten in der Konfigurationsprotokolldatei oder der Analyseprotokolldatei zu protokollieren.
_PFSCE-ABFRAGEINFORMATIONEN _
Wird verwendet, um die Konfigurations- und Analyseinformationen für einen bestimmten Dienst abzufragen.
PFSCE _ SET _ INFO
Wird verwendet, um Konfigurations- und Analyseinformationen für einen bestimmten Dienst festzulegen.

Funktionen der Anlagen-Engine

Funktion BESCHREIBUNG
SceSvcAttachmentAnalyze
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System analysiert wird.
SceSvcAttachmentConfig
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System konfiguriert ist.
SceSvcAttachmentUpdate
Wird von der Anlagen-Engine-DLL implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn sie eine Konfigurationsupdateanforderung von der Erweiterung für das Anfüge-Snap-In empfängt.

LSA-Richtlinienfunktionen

Die folgenden Themen enthalten Referenzinformationen zu den Richtlinienfunktionen der lokalen Sicherheitsautorität (Local Security Authority, LSA).

Thema BESCHREIBUNG
Richtlinienfunktionen
Detailfunktionen, die zum Öffnen des lokalen Richtlinienobjekts und zum Festlegen oder Abrufen globaler Richtlinieninformationen verwendet werden.
Kontofunktionen
Details zu Funktionen, die zum Verwalten von Kontoberechtigungen und zum Erstellen und Löschen von Benutzerkonten verwendet werden.
Vertrauenswürdige Domänenfunktionen
Detailsfunktionen zum Erstellen und Löschen von vertrauenswürdigen Domänenbeziehungen sowie zum Festlegen und Abrufen von Informationen zu diesen vertrauenswürdigen Domänen.
Private Datenfunktionen
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData.
Sonstige Funktionen
Detailfunktionen, die nicht an anderer Stelle beschrieben werden.

Richtlinienfunktionen

Die folgenden Funktionen enthalten Benutzerkonten und vertrauenswürdige Domänen, empfangen Richtlinienänderungsbenachrichtigungen sowie Nachschlagekontonamen und SIDs.

Funktion BESCHREIBUNG
LsaEnumerateAccountsWithUserRight
Listet alle Konten auf, die über eine angegebene Benutzerberechtigung verfügen.
LsaEnumerateTrustedDomainsEx
Listet die vertrauenswürdigen Domänen auf.
LsaLookupNames
Karten die angegebenen Namen ihren SIDs zu. Gibt die SID als RID-/Domänen-SID-Paar zurück.
LsaLookupNames2
Karten die angegebenen Namen ihren SIDs zu. Gibt die SID als einzelnes Element zurück.
LsaLookupPrivilegeValue
Ruft den lokal eindeutigen Bezeichner (LUID) ab, der von der lokalen Sicherheitsautorität (Local Security Authority, LSA) verwendet wird, um den angegebenen Berechtigungsnamen darzustellen.
LsaLookupSids
Karten die angegebenen Kontonamen ihren SIDs zu.
LsaRegisterPolicyChangeNotification
Registriert ein Ereignisobjekt, um Benachrichtigungen zu erhalten, wenn sich die lokalen Richtlinieninformationen ändern.
LsaUnregisterPolicyChangeNotification
Aufheben der Registrierung eines Ereignisobjekts, das Richtlinienänderungsbenachrichtigungen empfängt.

Kontofunktionen

Mit den folgenden Funktionen werden Berechtigungen für ein Konto hinzugefügt, aufzählen und löschen.

Funktion BESCHREIBUNG
LsaAddAccountRights
Hinzufügen von Berechtigungen zu einem Konto. Wenn das Konto noch nicht vorhanden ist, wird es erstellt.
LsaEnumerateAccountRights
Aufzählen der einem Konto gewährten Berechtigungen.
LsaRemoveAccountRights
Entfernen von Berechtigungen aus einem Konto. Wenn alle Berechtigungen entfernt werden, wird das Konto gelöscht.

Vertrauenswürdige Domänenfunktionen

Die folgenden Funktionen erstellen, aufzählen und löschen vertrauenswürdige Domänen und legen vertrauenswürdige Domäneninformationen fest und rufen sie ab.

Funktion BESCHREIBUNG
LsaCreateTrustedDomainEx
Erstellt ein neues TrustedDomain-Objekt.
LsaDeleteTrustedDomain
Entfernt ein TrustedDomain-Objekt.
LsaEnumerateTrustedDomains
LsaEnumerateTrustedDomainsEx
Listet die Domänen auf, denen das lokale System derzeit vertraut.
LsaOpenTrustedDomainByName
Öffnet ein Handle für ein TrustedDomain-Objekt.
LsaQueryTrustedDomainInfo
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch SID angegeben.
LsaQueryTrustedDomainInfoByName
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch den Namen angegeben.
LsaSetTrustedDomainInfoByName
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch den Namen angegeben.
LsaSetTrustedDomainInformation
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch SID angegeben.

Private Datenfunktionen

Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData.

Funktion BESCHREIBUNG
LsaRetri browsePrivateData
Ruft eine Zeichenfolge ab und entschlüsselt sie.
LsaStorePrivateData
Verschlüsselt und speichert eine Zeichenfolge.

Sonstige Funktionen

Die LSA-Richtlinien-API verfügt über die folgenden drei Funktionen, die nicht in eine der anderen Kategorien von LSA Policy-Funktionen passen.

Funktion BESCHREIBUNG
LsaClose
Schließt ein Handle für ein Policy-Objekt oder ein TrustedDomain-Objekt.
LsaFreeMemory
Gibt einen Puffer frei, der von einer LSA-Funktion zugeordnet wird.
LsaNtStatusToWinError
Konvertiert einen NTSTATUS-Wert in einen Windows Fehlercode.

Verwaltete Dienstkontofunktionen

Die folgenden Funktionen werden verwendet, um verwaltete Dienstkonten zu erstellen, aufzählen, zu suchen und zu löschen.

Funktion BESCHREIBUNG
NetAddServiceAccount
Erstellt ein verwaltetes Dienstkonto.
NetEnumerateServiceAccounts
Enumeriert die Serverkonten auf dem angegebenen Server.
NetIsServiceAccount
Testet, ob das angegebene Dienstkonto im Netlogon-Speicher auf dem angegebenen Server vorhanden ist.
NetRemoveServiceAccount
Löscht das angegebene Dienstkonto aus der Active Directory-Datenbank.

Kennwortfilterfunktionen

Die folgenden Kennwortfilterfunktionen werden von benutzerdefinierten Kennwortfilter-DLLs implementiert, um Kennwortfilterung und Kennwortänderungsbenachrichtigungen zu ermöglichen.

Funktion BESCHREIBUNG
InitializeChangeNotify
Gibt an, dass eine Kennwortfilter-DLL initialisiert wird.
PasswordChangeNotify
Gibt an, dass ein Kennwort geändert wurde.
PasswordFilter
Überprüft ein neues Kennwort basierend auf der Kennwortrichtlinie.

Sicherere Funktionen

Die folgenden sichereren Funktionen können verwendet werden, um die sicherere Ebene von ausführbaren Dateien zu überprüfen und Ereignisse zu protokollieren.

Funktion BESCHREIBUNG
SaferCloseLevel Schließt ein SAFER _ LEVEL _ HANDLE, das mithilfe der SaferIdentifyLevel-Funktion oder der SaferCreateLevel-Funktion geöffnet wurde.
SaferComputeTokenFromLevel Schränkt ein Token mithilfe von Einschränkungen ein, die durch ein SAFER _ LEVEL _ HANDLE angegeben werden.
SaferCreateLevel Öffnet ein _ SICHERERES _ LEVEL-HANDLE.
SaferGetLevelInformation Ruft Informationen zu einer Richtlinienebene ab.
SaferGetPolicyInformation Ruft Informationen zu einer Richtlinie ab.
SaferIdentifyLevel Ruft Informationen zu einer Ebene ab.
SaferiIsExecutableFileType Bestimmt, ob eine angegebene Datei eine ausführbare Datei ist.
SaferRecordEventLogEntry Sendet eine Nachricht an das Ereignisprotokoll.
SaferSetLevelInformation Legt die Informationen zu einer Richtlinienebene fest.
SaferSetPolicyInformation Legt die globalen Richtliniensteuerelemente fest.