SeOpenObjectForDeleteAuditAlarm-Funktion (ntifs.h)
Die SeOpenObjectForDeleteAuditAlarm-Routine generiert Überwachungs- und Alarmmeldungen, wenn versucht wird, ein Objekt zum Löschen zu öffnen.
Syntax
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Parameter
[in] ObjectTypeName
Zeiger auf eine NULL-endende Zeichenfolge, die den Typ des Objekts angibt, auf das der Client Zugriff anfordert. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.
[in, optional] Object
Adresse des Objekts, das mit der Absicht geöffnet wird, zu löschen. Dieser Wert wird nur zum Eingeben von Protokollmeldungen benötigt. Wenn der geöffnete Versuch fehlschlägt, wird der Wert von Object ignoriert. Andernfalls muss sie bereitgestellt werden.
[in, optional] AbsoluteObjectName
Zeiger auf eine NULL-endende Zeichenfolge, die den Namen des Objekts angibt, das geöffnet wird, mit der Absicht zu löschen. Diese Zeichenfolge wird in jeder generierten Überwachungsmeldung angezeigt.
[in] SecurityDescriptor
Ein Zeiger auf die Sicherheitsbeschreibungsstruktur für das Objekt, das mit der Absicht geöffnet wird, zu löschen.
[in] AccessState
Zeiger auf eine Zugriffsstatusstruktur, die den Betreffkontext des Objekts, die verbleibenden gewünschten Zugriffstypen, gewährte Zugriffstypen und optional einen Berechtigungssatz enthält, um anzugeben, welche Berechtigungen zum Zulassen des Zugriffs verwendet wurden.
[in] ObjectCreated
Legen Sie auf TRUE fest, wenn der Öffnen-Vorgang bewirkt, dass ein neues Objekt erstellt wird, oder FALSE , wenn ein vorhandenes Objekt geöffnet wird.
[in] AccessGranted
Legen Sie auf TRUE fest, wenn der offene Zugriff basierend auf einer vorherigen Zugriffs- oder Berechtigungsprüfung gewährt wurde, oder AUF FALSE , wenn er verweigert wurde.
[in] AccessMode
Zugriffsmodus, der für die Zugriffsüberprüfung verwendet wird. Entweder UserMode oder KernelMode.
[out] GenerateOnClose
Zeiger auf ein Flag, das von der Überwachungsgenerierungsroutine festgelegt wird, wenn SeOpenObjectAuditAlarm zurückgegeben wird.
Rückgabewert
Keine
Bemerkungen
SeOpenObjectForDeleteAuditAlarm generiert alle erforderlichen Überwachungs- oder Alarmmeldungen, wenn ein Benutzermodusprozess versucht, ein Objekt mit der Absicht zu öffnen, es zu löschen. SeOpenObjectForDeleteAuditAlarm wird von Dateisystemen verwendet, wenn das Flag FILE_DELETE_ON_CLOSE angegeben ist. Für Kernelmoduszugriffe werden keine Meldungen generiert.
Vor dem Aufruf von SeOpenObjectForDeleteAuditAlarm muss der Aufrufer SeLockSubjectContext aufrufen, um die primären Token und das Identitätswechseltoken des Aufrufers zu sperren. Nach dem Aufruf von SeOpenObjectForDeleteAuditAlarm muss der Aufrufer SeUnlockSubjectContext aufrufen, um diese Token freizugeben.
Weitere Informationen zur Sicherheit und Zugriffssteuerung finden Sie unter Windows-Sicherheitsmodell für Treiberentwickler und in der Dokumentation zu diesen Themen im Windows SDK.
Anforderungen
| Anforderung | Wert |
|---|---|
| Zielplattform | Universell |
| Header | ntifs.h (include Ntifs.h) |
| Bibliothek | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für