SeOpenObjectForDeleteAuditAlarm 함수(ntifs.h)

아티클
03/08/2023

SeOpenObjectForDeleteAuditAlarm 루틴은 삭제를 위해 개체를 열려고 할 때 감사 및 경보 메시지를 생성합니다.

구문

void SeOpenObjectForDeleteAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

매개 변수

[in] ObjectTypeName

클라이언트가 액세스를 요청하는 개체의 형식을 지정하는 null로 끝나는 문자열에 대한 포인터입니다. 이 문자열은 생성된 감사 메시지에 표시됩니다.

[in, optional] Object

삭제할 의도로 열려 있는 개체의 주소입니다. 이 값은 로그 메시지를 입력하는 데만 필요합니다. 열린 시도가 실패하면 Object 값이 무시됩니다. 그렇지 않으면 제공해야 합니다.

[in, optional] AbsoluteObjectName

삭제할 의도로 열려는 개체의 이름을 지정하는 null로 끝나는 문자열에 대한 포인터입니다. 이 문자열은 생성된 감사 메시지에 표시됩니다.

[in] SecurityDescriptor

삭제할 의도로 열려는 개체의 보안 설명자 구조에 대한 포인터입니다.

[in] AccessState

개체의 주체 컨텍스트, 나머지 원하는 액세스 형식, 부여된 액세스 형식 및 선택적으로 액세스를 허용하는 데 사용된 권한을 나타내는 권한 집합을 포함하는 액세스 상태 구조에 대한 포인터입니다.

[in] ObjectCreated

열려 있는 작업으로 인해 새 개체가 만들어지면 TRUE 로, 기존 개체가 열려 있으면 FALSE 로 설정합니다.

[in] AccessGranted

이전 액세스 검사 또는 권한 검사 따라 열린 액세스 권한이 부여된 경우 TRUE로 설정하거나 거부된 경우 FALSE로 설정합니다.

[in] AccessMode

액세스 검사 사용되는 액세스 모드입니다. UserMode 또는 KernelMode.

[out] GenerateOnClose

SeOpenObjectAuditAlarm이 반환되는 경우 감사 생성 루틴에서 설정한 플래그에 대한 포인터입니다.

반환 값

없음

설명

SeOpenObjectForDeleteAuditAlarm 은 사용자 모드 프로세스가 개체를 삭제하려는 의도로 개체를 열려고 할 때 필요한 감사 또는 경보 메시지를 생성합니다. SeOpenObjectForDeleteAuditAlarm 은 플래그 FILE_DELETE_ON_CLOSE 지정될 때 파일 시스템에서 사용됩니다. 커널 모드 액세스에 대한 메시지가 생성되지 않습니다.

SeOpenObjectForDeleteAuditAlarm을 호출하기 전에 호출자는 SeLockSubjectContext를 호출하여 호출자의 기본 및 가장 토큰을 잠가야 합니다. SeOpenObjectForDeleteAuditAlarm을 호출한 후 호출자는 SeUnlockSubjectContext를 호출하여 이러한 토큰을 해제해야 합니다.

보안 및 액세스 제어에 대한 자세한 내용은 드라이버 개발자를 위한 Windows 보안 모델 및 Windows SDK의 이러한 topics 대한 설명서를 참조하세요.