Функция SeAccessCheck (wdm.h)

Статья
03/08/2023

SeAccessCheck определяет, можно ли предоставить запрошенные права доступа объекту, защищенному дескриптором безопасности и владельцем объекта.

Синтаксис

BOOLEAN SeAccessCheck(
  [in]  PSECURITY_DESCRIPTOR      SecurityDescriptor,
  [in]  PSECURITY_SUBJECT_CONTEXT SubjectSecurityContext,
  [in]  BOOLEAN                   SubjectContextLocked,
  [in]  ACCESS_MASK               DesiredAccess,
  [in]  ACCESS_MASK               PreviouslyGrantedAccess,
  [out] PPRIVILEGE_SET            *Privileges,
  [in]  PGENERIC_MAPPING          GenericMapping,
  [in]  KPROCESSOR_MODE           AccessMode,
  [out] PACCESS_MASK              GrantedAccess,
  [out] PNTSTATUS                 AccessStatus
);

Параметры

[in] SecurityDescriptor

Указатель на структуру SECURITY_DESCRIPTOR , описывающую дескриптор безопасности, защищающий объект, к которому осуществляется доступ.

[in] SubjectSecurityContext

Указатель на непрозрачную структуру SECURITY_SUBJECT_CONTEXT , указывающую захваченный контекст безопасности субъекта.

[in] SubjectContextLocked

Логическое значение, указывающее, заблокирован ли контекст субъекта пользователя, чтобы его не нужно было снова блокировать.

[in] DesiredAccess

Указывает ACCESS_MASK битовую маску для прав доступа, которые вызывающий объект пытается получить. Если вызывающий объект задает бит MAXIMUM_ALLOWED, подпрограмма выполняет все проверки DACL. Однако SeAccessCheck не выполняет никаких проверок привилегий, если вызывающий объект специально не запрашивает их, задавая ACCESS_SYSTEM_SECURITY или WRITE_OWNER биты.

[in] PreviouslyGrantedAccess

Указывает ACCESS_MASK битовую маску уже предоставленных прав доступа, например прав доступа, предоставленных в результате владения привилегией.

[out] Privileges

Указатель на переменную, предоставленную вызывающей стороны, для установки адреса структуры PRIVILEGE_SET , которая будет использоваться в процессе проверки доступа, или этот параметр может иметь значение NULL. Возвращаемый буфер, если таковой есть, должен быть освобожден вызывающим объектом с помощью SeFreePrivileges.

[in] GenericMapping

Указатель на структуру GENERIC_MAPPING , связанную с данным типом объекта. Это значение указывает конкретные права доступа, подразумеваемые каждым правом доступа GENERIC_XXXX .

[in] AccessMode

Указывает режим доступа, используемый в проверка, UserMode или KernelMode.

[out] GrantedAccess

Указатель на возвращенную маску доступа, указывающую предоставленный доступ. Если вызывающий объект указывает MAXIMUM_ALLOWED, а daCL в SecurityDescriptor имеет значение NULL, то подпрограмма возвращает GENERIC_ALL плюс любой дополнительный доступ, который вызывающий объект явно запрашивает.

[out] AccessStatus

Указатель на значение состояния, указывающее, почему было отказано в доступе.

Возвращаемое значение

Если доступ разрешен, Функция SeAccessCheck возвращает значение TRUE.

SeAccessCheck может выполнять тесты привилегий для SeTakeOwnershipPrivilege и SeSecurityPrivilege в зависимости от запрашиваемого доступа. В будущих выпусках операционной системы может выполняться дополнительное тестирование привилегий.

Эта подпрограмма также может проверка, является ли вызывающий объект владельцем объекта, чтобы предоставить WRITE_DAC или READ_CONTROL доступ.

Если эта подпрограмма возвращает значение FALSE, вызывающий объект должен использовать возвращаемое значение AccessStatus в качестве возвращаемого значения. То есть вызывающий объект должен избегать жесткого кодирования возвращаемого значения STATUS_ACCESS_DENIED или любого другого конкретного значения STATUS_XXX .

Дополнительные сведения о безопасности и управлении доступом см. в статье Модель безопасности Windows для разработчиков драйверов и документацию по этим темам в Microsoft Windows SDK.

Требования

Требование	Значение
Минимальная версия клиента	Windows 2000
Целевая платформа	Универсальное
Верхняя часть	wdm.h (включая Wdm.h, Ntddk.h, Ntifs.h)
Библиотека	NtosKrnl.lib
DLL	NtosKrnl.exe
IRQL	PASSIVE_LEVEL
Правила соответствия DDI	HwStorPortProhibitedDDIs(storport), PowerIrpDDis(wdm)