Partager via


Fonction SeOpenObjectForDeleteAuditAlarm (ntifs.h)

La routine SeOpenObjectForDeleteAuditAlarm génère des messages d’audit et d’alarme lorsqu’une tentative d’ouverture d’un objet pour suppression est effectuée.

Syntaxe

void SeOpenObjectForDeleteAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

Paramètres

[in] ObjectTypeName

Pointeur vers une chaîne terminée par null spécifiant le type d’objet auquel le client demande l’accès. Cette chaîne apparaît dans tout message d’audit généré.

[in, optional] Object

Adresse de l’objet en cours d’ouverture avec l’intention de supprimer. Cette valeur est nécessaire uniquement pour entrer des messages de journal. Si la tentative d’ouverture échoue, la valeur de Object est ignorée. Sinon, il doit être fourni.

[in, optional] AbsoluteObjectName

Pointeur vers une chaîne terminée par null spécifiant le nom de l’objet ouvert avec l’intention de supprimer. Cette chaîne apparaît dans tout message d’audit généré.

[in] SecurityDescriptor

Pointeur vers la structure de descripteur de sécurité de l’objet en cours d’ouverture avec l’intention de supprimer.

[in] AccessState

Pointeur vers une structure d’état d’accès contenant le contexte d’objet de l’objet, les types d’accès souhaités restants, les types d’accès accordés et, éventuellement, un jeu de privilèges pour indiquer quels privilèges ont été utilisés pour autoriser l’accès.

[in] ObjectCreated

Définissez la valeur TRUE si l’opération d’ouverture entraîne la création d’un nouvel objet, ou FALSE si un objet existant est ouvert.

[in] AccessGranted

Définissez la valeur TRUE si l’accès ouvert a été accordé en fonction d’un case activée d’accès précédent ou d’un case activée de privilèges, ou FALSE s’il a été refusé.

[in] AccessMode

Mode d’accès utilisé pour le case activée d’accès. UserMode ou KernelMode.

[out] GenerateOnClose

Pointeur vers un indicateur défini par la routine de génération d’audit lorsque SeOpenObjectAuditAlarm retourne.

Valeur de retour

None

Remarques

SeOpenObjectForDeleteAuditAlarm génère tous les messages d’audit ou d’alarme nécessaires lorsqu’un processus en mode utilisateur tente d’ouvrir un objet avec l’intention de le supprimer. SeOpenObjectForDeleteAuditAlarm est utilisé par les systèmes de fichiers lorsque l’indicateur FILE_DELETE_ON_CLOSE est spécifié. Aucun message n’est généré pour les accès en mode noyau.

Avant d’appeler SeOpenObjectForDeleteAuditAlarm, l’appelant doit appeler SeLockSubjectContext pour verrouiller les jetons principal et d’emprunt d’identité de l’appelant. Après avoir appelé SeOpenObjectForDeleteAuditAlarm, l’appelant doit appeler SeUnlockSubjectContext pour libérer ces jetons.

Pour plus d’informations sur la sécurité et le contrôle d’accès, consultez Modèle de sécurité Windows pour les développeurs de pilotes et la documentation sur ces rubriques dans le Kit de développement logiciel (SDK) Windows.

Configuration requise

Condition requise Valeur
Plateforme cible Universal
En-tête ntifs.h (inclure Ntifs.h)
Bibliothèque NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL

Voir aussi

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext

SeOpenObjectAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING