SeOpenObjectForDeleteAuditAlarm 函式 (ntifs.h)
當嘗試開啟對象以進行刪除時 ,SeOpenObjectForDeleteAuditAlarm 例程會產生稽核和警示訊息。
語法
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
參數
[in] ObjectTypeName
指定用戶端要求存取的物件類型之 Null 終止字串的指標。 此字串會出現在任何產生的稽核訊息中。
[in, optional] Object
要以意圖刪除開啟之物件的位址。 只有在記錄訊息中輸入時,才需要此值。 如果開啟嘗試失敗,則會忽略 Object 的值。 否則,必須提供它。
[in, optional] AbsoluteObjectName
以 Null 終止字串的指標,指定要以意圖刪除開啟的物件名稱。 此字串會出現在任何產生的稽核訊息中。
[in] SecurityDescriptor
要以意圖刪除開啟之物件之安全描述元結構的指標。
[in] AccessState
存取狀態結構的指標,其中包含對象的主體內容、剩餘所需的存取類型、授與的存取類型,以及選擇性的許可權集合,以指出哪些許可權是用來允許存取。
[in] ObjectCreated
如果開啟作業導致建立新的物件,則設定為 TRUE ;如果開啟現有的物件,則設定為 FALSE 。
[in] AccessGranted
如果根據先前的存取檢查或許可權檢查授與開啟存取權,則設定為 TRUE ;如果拒絕,則設定為 FALSE 。
[in] AccessMode
用於存取檢查的存取模式。 UserMode 或 KernelMode。
[out] GenerateOnClose
當 SeOpenObjectAuditAlarm 傳回時,稽核產生例程所設定旗標的指標。
傳回值
無
備註
當使用者模式進程嘗試以意圖刪除物件時,SeOpenObjectForDeleteAuditAlarm 會產生任何必要的稽核或警示訊息。 當指定旗標FILE_DELETE_ON_CLOSE時,文件系統會使用 SeOpenObjectForDeleteAuditAlarm。 不會針對內核模式存取產生任何訊息。
呼叫 SeOpenObjectForDeleteAuditAlarm 之前,呼叫端必須呼叫 SeLockSubjectContext 來鎖定呼叫端的主要和模擬令牌。 呼叫 SeOpenObjectForDeleteAuditAlarm 之後,呼叫端必須呼叫 SeUnlockSubjectContext 來釋放這些令牌。
如需安全性和訪問控制的詳細資訊,請參閱 適用於驅動程序開發人員的 Windows 安全性模型 ,以及 Windows SDK 中這些主題的相關文件。
規格需求
| 需求 | 值 |
|---|---|
| 目標平台 | Universal |
| 標頭 | ntifs.h (包含 Ntifs.h) |
| 程式庫 | NtosKrnl.lib |
| Dll | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應