Fonction SeOpenObjectAuditAlarm (ntifs.h)
La routine SeOpenObjectAuditAlarm génère des messages d’audit et d’alarme lorsqu’une tentative d’ouverture d’un objet est effectuée.
Syntaxe
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Paramètres
[in] ObjectTypeName
Pointeur vers une chaîne terminée par null spécifiant le type d’objet auquel le client demande l’accès. Cette chaîne apparaît dans tout message d’audit généré.
[in, optional] Object
Adresse de l’objet en cours d’ouverture. Cette valeur est nécessaire uniquement pour entrer des messages de journal. Si la tentative d’ouverture échoue, la valeur de Object est ignorée. Sinon, il doit être fourni.
[in, optional] AbsoluteObjectName
Pointeur vers une chaîne terminée par null spécifiant le nom de l’objet en cours d’ouverture. Cette chaîne apparaît dans tout message d’audit généré.
[in] SecurityDescriptor
Pointeur vers la structure de descripteur de sécurité de l’objet en cours d’ouverture.
[in] AccessState
Pointeur vers une structure d’état d’accès contenant le contexte d’objet de l’objet, les types d’accès souhaités restants, les types d’accès accordés et, éventuellement, un jeu de privilèges pour indiquer quels privilèges ont été utilisés pour autoriser l’accès.
[in] ObjectCreated
Définissez la valeur TRUE si l’opération d’ouverture entraîne la création d’un nouvel objet, ou FALSE si un objet existant est ouvert.
[in] AccessGranted
Définissez la valeur TRUE si l’accès ouvert a été accordé en fonction d’un case activée d’accès précédent ou d’un case activée de privilèges, ou FALSE s’il a été refusé.
[in] AccessMode
Mode d’accès utilisé pour le case activée d’accès. UserMode ou KernelMode.
[out] GenerateOnClose
Pointeur vers un indicateur défini par la routine de génération d’audit lorsque SeOpenObjectAuditAlarm retourne.
Valeur de retour
None
Remarques
SeOpenObjectAuditAlarm génère tous les messages d’audit ou d’alarme nécessaires pour les accès en mode utilisateur. Aucun message n’est généré pour les accès en mode noyau.
Avant d’appeler SeOpenObjectAuditAlarm, l’appelant doit appeler SeLockSubjectContext pour verrouiller les jetons principal et d’emprunt d’identité de l’appelant. Après avoir appelé SeOpenObjectAuditAlarm, l’appelant doit appeler SeUnlockSubjectContext pour libérer ces jetons.
Pour plus d’informations sur la sécurité et le contrôle d’accès, consultez Modèle de sécurité Windows pour les développeurs de pilotes et la documentation sur ces rubriques dans le Kit de développement logiciel (SDK) Windows.
Configuration requise
| Condition requise | Valeur |
|---|---|
| Plateforme cible | Universal |
| En-tête | ntifs.h (inclure Ntifs.h) |
| Bibliothèque | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
Voir aussi
SeOpenObjectForDeleteAuditAlarm
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour