Compartilhar via


Função SeOpenObjectForDeleteAuditAlarm (ntifs.h)

A rotina SeOpenObjectForDeleteAuditAlarm gera mensagens de auditoria e alarme quando é feita uma tentativa de abrir um objeto para exclusão.

Sintaxe

void SeOpenObjectForDeleteAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

Parâmetros

[in] ObjectTypeName

Ponteiro para uma cadeia de caracteres terminada em nulo especificando o tipo de objeto ao qual o cliente está solicitando acesso. Essa cadeia de caracteres aparece em qualquer mensagem de auditoria gerada.

[in, optional] Object

Endereço do objeto que está sendo aberto com a intenção de excluir. Esse valor é necessário apenas para inserir em mensagens de log. Se a tentativa aberta falhar, o valor de Object será ignorado. Caso contrário, ele deverá ser fornecido.

[in, optional] AbsoluteObjectName

Ponteiro para uma cadeia de caracteres terminada em nulo especificando o nome do objeto que está sendo aberto com a intenção de excluir. Essa cadeia de caracteres aparece em qualquer mensagem de auditoria gerada.

[in] SecurityDescriptor

Um ponteiro para a estrutura do descritor de segurança para o objeto que está sendo aberto com a intenção de excluir.

[in] AccessState

Ponteiro para uma estrutura de estado de acesso que contém o contexto de assunto do objeto, os tipos de acesso desejados restantes, os tipos de acesso concedidos e, opcionalmente, um conjunto de privilégios para indicar quais privilégios foram usados para permitir o acesso.

[in] ObjectCreated

Defina como TRUE se a operação aberta fizer com que um novo objeto seja criado ou FALSE se um objeto existente for aberto.

[in] AccessGranted

Defina como TRUE se o acesso aberto tiver sido concedido com base em um acesso anterior marcar ou marcar de privilégios ou FALSE se ele tiver sido negado.

[in] AccessMode

Modo de acesso usado para a marcar de acesso. UserMode ou KernelMode.

[out] GenerateOnClose

Ponteiro para um sinalizador definido pela rotina de geração de auditoria quando SeOpenObjectAuditAlarm retorna.

Retornar valor

Nenhum

Comentários

SeOpenObjectForDeleteAuditAlarm gera todas as mensagens de auditoria ou alarme necessárias quando um processo de modo de usuário tenta abrir um objeto com a intenção de excluí-lo. SeOpenObjectForDeleteAuditAlarm é usado por sistemas de arquivos quando o sinalizador FILE_DELETE_ON_CLOSE é especificado. Nenhuma mensagem é gerada para acessos no modo kernel.

Antes de chamar SeOpenObjectForDeleteAuditAlarm, o chamador deve chamar SeLockSubjectContext para bloquear os tokens primários e de representação do chamador. Depois de chamar SeOpenObjectForDeleteAuditAlarm, o chamador deve chamar SeUnlockSubjectContext para liberar esses tokens.

Para obter mais informações sobre segurança e controle de acesso, consulte Modelo de segurança do Windows para desenvolvedores de driver e a documentação sobre esses tópicos no SDK do Windows.

Requisitos

Requisito Valor
Plataforma de Destino Universal
Cabeçalho ntifs.h (inclua Ntifs.h)
Biblioteca NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL

Confira também

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext

SeOpenObjectAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING