Função SeOpenObjectAuditAlarm (ntifs.h)
A rotina SeOpenObjectAuditAlarm gera mensagens de auditoria e alarme quando é feita uma tentativa de abrir um objeto.
Sintaxe
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Parâmetros
[in] ObjectTypeName
Ponteiro para uma cadeia de caracteres terminada em nulo especificando o tipo de objeto ao qual o cliente está solicitando acesso. Essa cadeia de caracteres aparece em qualquer mensagem de auditoria gerada.
[in, optional] Object
Endereço do objeto que está sendo aberto. Esse valor é necessário apenas para inserir em mensagens de log. Se a tentativa aberta falhar, o valor de Object será ignorado. Caso contrário, ele deverá ser fornecido.
[in, optional] AbsoluteObjectName
Ponteiro para uma cadeia de caracteres terminada em nulo especificando o nome do objeto que está sendo aberto. Essa cadeia de caracteres aparece em qualquer mensagem de auditoria gerada.
[in] SecurityDescriptor
Um ponteiro para a estrutura do descritor de segurança para o objeto que está sendo aberto.
[in] AccessState
Ponteiro para uma estrutura de estado de acesso que contém o contexto de assunto do objeto, os tipos de acesso desejados restantes, os tipos de acesso concedidos e, opcionalmente, um conjunto de privilégios para indicar quais privilégios foram usados para permitir o acesso.
[in] ObjectCreated
Defina como TRUE se a operação aberta fizer com que um novo objeto seja criado ou FALSE se um objeto existente for aberto.
[in] AccessGranted
Defina como TRUE se o acesso aberto tiver sido concedido com base em um acesso anterior marcar ou marcar de privilégios ou FALSE se ele tiver sido negado.
[in] AccessMode
Modo de acesso usado para o marcar de acesso. UserMode ou KernelMode.
[out] GenerateOnClose
Ponteiro para um sinalizador definido pela rotina de geração de auditoria quando SeOpenObjectAuditAlarm retornar.
Retornar valor
Nenhum
Comentários
SeOpenObjectAuditAlarm gera todas as mensagens de auditoria ou alarme necessárias para acessos no modo de usuário. Nenhuma mensagem é gerada para acessos no modo kernel.
Antes de chamar SeOpenObjectAuditAlarm, o chamador deve chamar SeLockSubjectContext para bloquear os tokens primários e de representação do chamador. Depois de chamar SeOpenObjectAuditAlarm, o chamador deve chamar SeUnlockSubjectContext para liberar esses tokens.
Para obter mais informações sobre segurança e controle de acesso, consulte Modelo de segurança do Windows para desenvolvedores de driver e a documentação sobre esses tópicos no SDK do Windows.
Requisitos
| Requisito | Valor |
|---|---|
| Plataforma de Destino | Universal |
| Cabeçalho | ntifs.h (inclua Ntifs.h) |
| Biblioteca | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
Confira também
SeOpenObjectForDeleteAuditAlarm