SeOpenObjectForDeleteAuditAlarm 函数 (ntifs.h)

当尝试打开要删除的对象时, SeOpenObjectForDeleteAuditAlarm 例程生成审核和警报消息。

语法

void SeOpenObjectForDeleteAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

参数

[in] ObjectTypeName

指向以 null 结尾的字符串的指针,该字符串指定客户端请求访问的对象的类型。 此字符串显示在生成的任何审核消息中。

[in, optional] Object

要删除的打开对象的地址。 只有在输入日志消息时,才需要此值。 如果打开尝试失败,将忽略 Object 的值。 否则,必须提供它。

[in, optional] AbsoluteObjectName

指向以 null 结尾的字符串的指针,该字符串指定要删除的对象的名称。 此字符串显示在生成的任何审核消息中。

[in] SecurityDescriptor

指向要删除的打开对象的安全描述符结构的指针。

[in] AccessState

指向访问状态结构的指针,该结构包含对象的使用者上下文、剩余的所需访问类型、授予的访问权限类型,以及(可选)一个权限集,用于指示使用哪些特权来允许访问。

[in] ObjectCreated

如果打开操作导致创建新对象,则设置为 TRUE ;如果打开现有对象,则设置为 FALSE

[in] AccessGranted

如果基于以前的访问检查或特权检查授予开放访问权限,则设置为 TRUE;如果拒绝,则设置为 FALSE

[in] AccessMode

用于访问检查的访问模式。 UserModeKernelMode

[out] GenerateOnClose

指向 SeOpenObjectAuditAlarm 返回时审核生成例程设置的标志的指针。

返回值

备注

当用户模式进程尝试打开意图删除对象时,SeOpenObjectForDeleteAuditAlarm 生成任何必要的审核或警报消息。 指定标志FILE_DELETE_ON_CLOSE时,文件系统使用 SeOpenObjectForDeleteAuditAlarm。 不会为内核模式访问生成任何消息。

在调用 SeOpenObjectForDeleteAuditAlarm 之前,调用方必须调用 SeLockSubjectContext 来锁定调用方的主要令牌和模拟令牌。 调用 SeOpenObjectForDeleteAuditAlarm 后,调用方必须调用 SeUnlockSubjectContext 来释放这些令牌。

有关安全性和访问控制的详细信息,请参阅 面向驱动程序开发人员的 Windows 安全模型 和 Windows SDK 中有关这些主题的文档。

要求

要求
目标平台 通用
标头 ntifs.h (包括 Ntifs.h)
Library NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL

另请参阅

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext

SeOpenObjectAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING