Функция SeOpenObjectForDeleteAuditAlarm (ntifs.h)
Подпрограмма SeOpenObjectForDeleteAuditAlarm создает сообщения аудита и оповещения при попытке открыть объект для удаления.
Синтаксис
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Параметры
[in] ObjectTypeName
Указатель на строку, завершающуюся значением NULL, указывающую тип объекта, к которому клиент запрашивает доступ. Эта строка отображается в любом созданном сообщении аудита.
[in, optional] Object
Адрес открываемого объекта с намерением удалить. Это значение необходимо только для ввода в сообщения журнала. Если попытка открытия завершается неудачей, значение Object игнорируется. В противном случае он должен быть указан.
[in, optional] AbsoluteObjectName
Указатель на строку, завершающуюся значением NULL, указывающую имя объекта, который открывается с намерением удалить. Эта строка отображается в любом созданном сообщении аудита.
[in] SecurityDescriptor
Указатель на структуру дескриптора безопасности для объекта, который открывается с намерением удалить.
[in] AccessState
Указатель на структуру состояния доступа, содержащую контекст субъекта объекта, остающиеся требуемые типы доступа, предоставленные типы доступа и, при необходимости, набор привилегий, указывающий, какие привилегии были использованы для разрешения доступа.
[in] ObjectCreated
Задайте значение TRUE , если операция открытия приводит к созданию нового объекта, или значение FALSE , если открыт существующий объект.
[in] AccessGranted
Задайте значение TRUE, если открытый доступ был предоставлен на основе предыдущего проверка доступа или проверка привилегий, или false, если он был запрещен.
[in] AccessMode
Режим доступа, используемый для проверка доступа. Либо UserMode, либо KernelMode.
[out] GenerateOnClose
Указатель на флаг, установленный подпрограммой создания аудита при возврате SeOpenObjectAuditAlarm .
Возвращаемое значение
None
Remarks
SeOpenObjectForDeleteAuditAlarm создает все необходимые сообщения аудита или оповещения, когда процесс пользовательского режима пытается открыть объект с намерением удалить его. SeOpenObjectForDeleteAuditAlarm используется файловыми системами при указании флага FILE_DELETE_ON_CLOSE. Для доступа в режиме ядра сообщения не создаются.
Перед вызовом SeOpenObjectForDeleteAuditAlarm вызывающий объект должен вызвать SeLockSubjectContext , чтобы заблокировать основной маркер и токен олицетворения вызывающего объекта. После вызова SeOpenObjectForDeleteAuditAlarm вызывающий объект должен вызвать SeUnlockSubjectContext , чтобы освободить эти маркеры.
Дополнительные сведения о безопасности и управлении доступом см. в статье Модель безопасности Windows для разработчиков драйверов и в документации по этим темам в windows SDK.
Требования
| Требование | Значение |
|---|---|
| Целевая платформа | Универсальное |
| Верхняя часть | ntifs.h (включая Ntifs.h) |
| Библиотека | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по