PrivilegedServiceAuditAlarmW 函数 (securitybaseapi.h)
PrivilegedServiceAuditAlarm 函数在安全事件日志中生成审核消息。 受保护的服务器可以使用此函数记录客户端使用指定 权限集的尝试。
当前不支持警报。
语法
BOOL PrivilegedServiceAuditAlarmW(
[in] LPCWSTR SubsystemName,
[in] LPCWSTR ServiceName,
[in] HANDLE ClientToken,
[in] PPRIVILEGE_SET Privileges,
[in] BOOL AccessGranted
);
参数
[in] SubsystemName
指向以 null 结尾的字符串的指针,该字符串指定调用函数的子系统的名称。 此信息显示在安全事件日志记录中。
[in] ServiceName
指向以 null 结尾的字符串的指针,该字符串指定特权子系统服务的名称。 此信息显示在安全事件日志记录中。
[in] ClientToken
标识表示请求操作的客户端 的访问令牌 。 必须通过打开模拟客户端的线程的令牌来获取此句柄。 令牌必须打开才能TOKEN_QUERY访问。 函数使用此令牌获取安全事件日志记录的客户端标识。
[in] Privileges
指向包含客户端尝试使用的权限 的PRIVILEGE_SET 结构的指针。 权限的名称显示在安全事件日志记录中。
[in] AccessGranted
指示客户端使用权限的尝试是否成功。 如果此值为 TRUE,则安全事件日志记录指示成功。 如果此值为 FALSE,则安全事件日志记录指示失败。
返回值
如果该函数成功,则返回值为非零值。
如果函数失败,则返回值为零。 要获得更多的错误信息,请调用 GetLastError。
注解
PrivilegedServiceAuditAlarm 函数不检查客户端的访问令牌来确定是保留还是启用特权。 通常,首先调用 PrivilegeCheck 函数以确定是否在访问令牌中启用了指定的权限,然后调用 PrivilegedServiceAuditAlarm 来记录结果。
PrivilegedServiceAuditAlarm 函数要求调用进程启用SE_AUDIT_NAME特权。 此权限的测试始终针对调用进程的 主令牌 执行。 这允许调用进程在调用期间模拟客户端。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 目标平台 | Windows |
| 标头 | securitybaseapi.h (包括 Windows.h) |
| Library | Advapi32.lib |
| DLL | Advapi32.dll |
另请参阅
客户端/服务器访问控制函数
客户端/服务器访问控制概述
ObjectPrivilegeAuditAlarm
PRIVILEGE_SET
PrivilegeCheck
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈