Sicherheitsverwaltungsfunktionen
Dieser Abschnitt enthält Themen für die folgenden Gruppen von Funktionen:
- Rückruffunktionen für Anlagen
- Anlagen-Engine-Funktionen
- LSA-Richtlinienfunktionen
- Verwaltete Dienstkontofunktionen
- Kennwortfilterfunktionen
- Sicherere Funktionen
Rückruffunktionen für Anlagen
Die folgenden Unterstützungsfunktionen werden vom Sicherheitskonfigurationstoolsatz bereitgestellt und können von Anlagen-Engines und Erweiterungs-Snap-Ins zum Lesen und Schreiben von Konfigurationsdaten verwendet werden.
| Rückruffunktion | BESCHREIBUNG |
|---|---|
|
PFSCE_FREE_INFO |
Wird verwendet, um von diesen Supportfunktionen zugeordneten Arbeitsspeicher freizugeben. |
|
PFSCE_LOG_INFO |
Wird verwendet, um nachrichten in der Konfigurationsprotokolldatei oder Analyseprotokolldatei zu protokollieren. |
|
PFSCE_QUERY_INFO |
Wird verwendet, um die Konfigurations- und Analyseinformationen für einen bestimmten Dienst abzufragen. |
|
PFSCE_SET_INFO |
Wird verwendet, um Konfigurations- und Analyseinformationen für einen bestimmten Dienst festzulegen. |
Anlagen-Engine-Funktionen
| Funktion | BESCHREIBUNG |
|---|---|
|
SceSvcAttachmentAnalyze |
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System analysiert wird. |
|
SceSvcAttachmentConfig |
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System konfiguriert ist. |
|
SceSvcAttachmentUpdate |
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn sie eine Konfigurationsupdateanforderung von der Erweiterung des Anlagen-Snap-Ins empfängt. |
LSA-Richtlinienfunktionen
Die folgenden Themen enthalten Referenzinformationen zu den Richtlinienfunktionen der lokalen Sicherheitsautorität (Local Security Authority , LSA).
| Thema | BESCHREIBUNG |
|---|---|
| Richtlinienfunktionen |
Details zu Funktionen, die zum Öffnen des lokalen Policy-Objekts und zum Festlegen oder Abrufen globaler Richtlinieninformationen verwendet werden. |
| Kontofunktionen |
Details zu Funktionen, die zum Verwalten von Kontoberechtigungen und zum Erstellen und Löschen von Benutzerkonten verwendet werden. |
| Vertrauenswürdige Domänenfunktionen |
Enthält Details zu Funktionen, die zum Erstellen und Löschen vertrauenswürdiger Domänenbeziehungen und zum Festlegen und Abrufen von Informationen zu diesen vertrauenswürdigen Domänen verwendet werden. |
| Private Datenfunktionen |
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData . |
| Sonstige Funktionen |
Detailfunktionen, die an anderer Stelle nicht beschrieben werden. |
Richtlinienfunktionen
Mit den folgenden Funktionen werden Benutzerkonten und vertrauenswürdige Domänen aufgelistet, Richtlinienänderungsbenachrichtigungen empfangen und Kontonamen und SIDs gesucht.
| Funktion | BESCHREIBUNG |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
Listet alle Konten auf, die über eine angegebene Benutzerberechtigung verfügen. |
|
LsaEnumerateTrustedDomainsEx |
Listet die vertrauenswürdigen Domänen auf. |
|
LsaLookupNames |
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als RID/Domänen-SID-Paar zurück. |
|
LsaLookupNames2 |
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als einzelnes Element zurück. |
|
LsaLookupPrivilegeValue |
Ruft den lokal eindeutigen Bezeichner (Local Unique Identifier , LUID) ab, der von der lokalen Sicherheitsautorität (Local Security Authority , LSA) verwendet wird, um den angegebenen Berechtigungsnamen darzustellen. |
|
LsaLookupSids |
Ordnet die angegebenen Kontonamen ihren SIDs zu. |
|
LsaRegisterPolicyChangeNotification |
Registriert ein Ereignisobjekt, um Benachrichtigungen zu erhalten, wenn sich die lokalen Richtlinieninformationen ändern. |
|
LsaUnregisterPolicyChangeNotification |
Hebt die Registrierung eines Ereignisobjekts auf, das Richtlinienänderungsbenachrichtigungen empfängt. |
Kontofunktionen
Mit den folgenden Funktionen können Berechtigungen für ein Konto hinzugefügt, aufgelistet und gelöscht werden.
| Funktion | BESCHREIBUNG |
|---|---|
|
LsaAddAccountRights |
Hinzufügen von Berechtigungen zu einem Konto. Wenn das Konto noch nicht vorhanden ist, wird es erstellt. |
|
LsaEnumerateAccountRights |
Listet die Berechtigungen auf, die einem Konto gewährt werden. |
|
LsaRemoveAccountRights |
Entfernen von Berechtigungen aus einem Konto. Wenn alle Berechtigungen entfernt werden, wird das Konto gelöscht. |
Vertrauenswürdige Domänenfunktionen
Mit den folgenden Funktionen werden vertrauenswürdige Domänen erstellt, aufgezählt und gelöscht sowie vertrauenswürdige Domäneninformationen festgelegt und abgerufen.
| Funktion | BESCHREIBUNG |
|---|---|
|
LsaCreateTrustedDomainEx |
Erstellt ein neues TrustedDomain-Objekt . |
|
LsaDeleteTrustedDomain |
Entfernt ein TrustedDomain-Objekt . |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Listet die Domänen auf, die derzeit vom lokalen System als vertrauenswürdig eingestuft werden. |
|
LsaOpenTrustedDomainByName |
Öffnet ein Handle für ein TrustedDomain-Objekt . |
|
LsaQueryTrustedDomainInfo |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch die SID angegeben. |
|
LsaQueryTrustedDomainInfoByName |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch den Namen angegeben. |
|
LsaSetTrustedDomainInfoByName |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch den Namen angegeben. |
|
LsaSetTrustedDomainInformation |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch die SID angegeben. |
Private Datenfunktionen
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData .
| Funktion | BESCHREIBUNG |
|---|---|
|
LsaRetrievePrivateData |
Ruft eine Zeichenfolge ab und entschlüsselt sie. |
|
LsaStorePrivateData |
Verschlüsselt und speichert eine Zeichenfolge. |
Sonstige Funktionen
Die LSA-Richtlinien-API verfügt über die folgenden drei Funktionen, die nicht in eine der anderen LSA-Richtlinienfunktionskategorien passen.
| Funktion | BESCHREIBUNG |
|---|---|
|
LsaClose |
Schließt ein Handle für ein Policy-Objekt oder ein TrustedDomain-Objekt . |
|
LsaFreeMemory |
Gibt einen Puffer frei, der von einer LSA-Funktion zugeordnet wird. |
|
LsaNtStatusToWinError |
Konvertiert einen NTSTATUS-Wert in einen Windows-Fehlercode. |
Verwaltete Dienstkontofunktionen
Die folgenden Funktionen werden verwendet, um verwaltete Dienstkonten zu erstellen, aufzulisten, zu finden und zu löschen.
| Funktion | BESCHREIBUNG |
|---|---|
|
NetAddServiceAccount |
Erstellt ein verwaltetes Dienstkonto. |
|
NetEnumerateServiceAccounts |
Listet die Serverkonten auf dem angegebenen Server auf. |
|
NetIsServiceAccount |
Testet, ob das angegebene Dienstkonto im Netlogon-Speicher auf dem angegebenen Server vorhanden ist. |
|
NetRemoveServiceAccount |
Löscht das angegebene Dienstkonto aus der Active Directory-Datenbank . |
Kennwortfilterfunktionen
Die folgenden Kennwortfilterfunktionen werden von benutzerdefinierten Kennwortfilter-DLLs implementiert, um Kennwortfilterung und Kennwortänderungsbenachrichtigungen bereitzustellen.
| Funktion | BESCHREIBUNG |
|---|---|
|
InitializeChangeNotify |
Gibt an, dass eine Kennwortfilter-DLL initialisiert wird. |
|
PasswordChangeNotify |
Gibt an, dass ein Kennwort geändert wurde. |
|
PasswordFilter |
Überprüft ein neues Kennwort basierend auf der Kennwortrichtlinie. |
Sicherere Funktionen
Die folgenden Safer-Funktionen können verwendet werden, um die sicherere Ebene einer ausführbaren Datei zu überprüfen und Ereignisse zu protokollieren.
| Funktion | BESCHREIBUNG |
|---|---|
| SaferCloseLevel | Schließt eine SAFER_LEVEL_HANDLE, die mithilfe der SaferIdentifyLevel-Funktion oder der SaferCreateLevel-Funktion geöffnet wird. |
| SaferComputeTokenFromLevel | Schränkt ein Token mithilfe von Einschränkungen ein, die von einem SAFER_LEVEL_HANDLE angegeben werden. |
| SaferCreateLevel | Öffnet eine SAFER_LEVEL_HANDLE. |
| SaferGetLevelInformation | Ruft Informationen zu einer Richtlinienebene ab. |
| SaferGetPolicyInformation | Ruft Informationen zu einer Richtlinie ab. |
| SaferIdentifyLevel | Ruft Informationen zu einer Ebene ab. |
| SaferiIsExecutableFileType | Bestimmt, ob eine angegebene Datei eine ausführbare Datei ist. |
| SaferRecordEventLogEntry | Sendet eine Nachricht an das Ereignisprotokoll. |
| SaferSetLevelInformation | Legt die Informationen zu einer Richtlinienebene fest. |
| SaferSetPolicyInformation | Legt die globalen Richtliniensteuerelemente fest. |