WldpCanExecuteFile 関数 (wldp.h)
指定されたファイル内のコードの実行が実行ポリシーで許可されているかどうかを照会します。
構文
HRESULT WldpCanExecuteFile(
[in] REFGUID host,
[in] WLDP_EXECUTION_EVALUATION_OPTIONS options,
[in] HANDLE fileHandle,
[in, optional] PCWSTR auditInfo,
[out] WLDP_EXECUTION_POLICY *result
);
パラメーター
[in] host
呼び出し元のプログラムを指定する GUID。 このパラメーターに使用できる定義済みの GUID の一覧については、「 WLDP ホスト GUID」を参照してください。 特定の値が定義されていないホストの場合は、GUID WLDP_HOST_GUID_OTHERを使用します。
[in] options
実行承認要求のオプションを指定する WLDP_EXECUTION_EVALUATION_OPTIONS からの値。
[in] fileHandle
実行承認のために検証されるファイルへのハンドル。
重要
呼び出し元は、開いているファイル ハンドルのみを WldpCanExecuteFile に渡す必要があり、セキュリティ承認を特定のファイルにキャッシュしないでください。 特定のファイルを実行するための承認は、そのファイル ハンドルが閉じられると取り消されると想定する必要があります。 これらの対策は、スクリプトの適用ポリシーを覆す可能性がある TOC/TOU の脆弱性 を防ぐために必要です。
[in, optional] auditInfo
デバッグで使用する呼び出し元に関連するコンテキスト情報を含める必要がある文字列。 承認要求が失敗した場合、この文字列はイベント ログの [Applocker/MSI and Scripts/Operational] の下に記録されます。 呼び出し元は、 AuditInfo のサイズに制限はありませんが、イベント ログに配置されるため、文字列のサイズは 4K バイト未満である必要があることに注意してください。
[out] result
クエリの実行ポリシーの結果を示す 、WLDP_EXECUTION_POLICY 列挙から値へのポインターを受け取ります。
戻り値
成功した場合はS_OKを返し、それ以外の場合は失敗コードを返します。
解説
このメソッドは、 WldpGetLockdownPolicy の代わりとして提供されます。 このインターフェイスは、次の方法で WldpGetLockdownPolicy と区別されます。
- サブジェクト (ファイル、バッファー、またはストリーム) が os 実行ポリシーを確実に渡すよう呼び出し元に促します。
- アプリを呼び出して、診断目的で追加の監査情報を提供できるようにします。
- コードのバッファーとストリームの検証を許可します。
- 呼び出しパターンを簡略化します。
- cmd や powershell の対話型モードなど、きめ細かい実行ポリシーをサポートします
要件
サポートされている最小のクライアント | Windows 11、ビルド 22621 |
サポートされている最小のサーバー | Windows 11、ビルド 22621 |
Header | wldp.h |
Library | wldp.lib |
[DLL] | wldp.dll |