安全性管理功能
本節包含下列函式群組的主題:
附件回呼函式
下列支援函式是由安全性設定工具集提供,而且可由附件引擎和擴充功能嵌入式管理單元用來讀取和寫入組態資料。
| 回呼函式 | 描述 |
|---|---|
| PFSCE_FREE_INFO |
用來釋放這些支援函式所配置的記憶體。 |
| PFSCE_LOG_INFO |
用來將訊息記錄到組態記錄檔或分析記錄檔。 |
| PFSCE_QUERY_INFO |
用來查詢特定服務的組態和分析資訊。 |
| PFSCE_SET_INFO |
用來設定特定服務的組態和分析資訊。 |
附件引擎函式
| 函式 | 描述 |
|---|---|
| SceSvcAttachmentAnalyze |
由附件引擎 DLL 實作。 分析系統時,安全性設定引擎會呼叫此函式。 |
| SceSvcAttachmentConfig |
由附件引擎 DLL 實作。 設定系統時,安全性設定引擎會呼叫此函式。 |
| SceSvcAttachmentUpdate |
由附件引擎 DLL 實作。 當安全性設定引擎從附件嵌入式管理單元擴充功能收到設定更新要求時,會呼叫此函式。 |
LSA 原則函式
下列主題提供 本機安全性授權單位 (LSA) 原則函式的參考資訊。
| 主題 | 描述 |
|---|---|
| 原則函式 |
詳細資料函式,用來開啟本機 原則 物件,以及設定或擷取全域原則資訊。 |
| 帳戶函式 |
詳細資料用來管理帳戶許可權和建立和刪除使用者帳戶的函式。 |
| 信任的網域函式 |
詳細資料函式,用來建立和刪除信任的網域關聯性,以及設定和擷取這些信任網域的相關資訊。 |
| 私人資料函式 |
請勿使用 LSA 私人資料函式。 請改用 CryptProtectData 和 CryptUnprotectData 函式。 |
| 雜項函式 |
未在其他地方描述詳細資料函式。 |
原則函式
下列函式會列舉使用者帳戶和受信任的網域、接收原則變更通知,以及查閱帳戶名稱和 SID。
| 函式 | 描述 |
|---|---|
| LsaEnumerateAccountsWithUserRight |
列舉具有指定之使用者許可權的所有帳戶。 |
| LsaEnumerateTrustedDomainsEx |
列舉受信任的網域。 |
| LsaLookupNames |
將指定的名稱對應至其 SID。 傳回 SID 做為 RID/網域 SID 配對。 |
| LsaLookupNames2 |
將指定的名稱對應至其 SID。 傳回 SID 做為單一元素。 |
| LsaLookupPrivilegeValue |
擷取本機 唯一識別碼 , (LUID) 由本機安全性授權單位 (LSA) 來表示指定的許可權名稱。 |
| LsaLookupSids |
將指定的帳號名稱對應至其 SID。 |
| LsaRegisterPolicyChangeNotification |
註冊事件物件,以在本機原則資訊變更時接收通知。 |
| LsaUnregisterPolicyChangeNotification |
取消註冊接收原則變更通知的事件物件。 |
帳戶函式
下列函式會新增、列舉和刪除帳戶的許可權。
| 函式 | 描述 |
|---|---|
| LsaAddAccountRights |
將許可權新增至帳戶。 如果帳戶尚未存在,則會建立該帳戶。 |
| LsaEnumerateAccountRights |
列舉授與給帳戶的許可權。 |
| LsaRemoveAccountRights |
從帳戶移除許可權。 移除擁有權限時,會刪除帳戶。 |
信任的網域函式
下列函式會建立、列舉和刪除信任的網域,並設定及擷取受信任的網域資訊。
| 函式 | 描述 |
|---|---|
| LsaCreateTrustedDomainEx |
建立新的 TrustedDomain 物件。 |
| LsaDeleteTrustedDomain |
移除 TrustedDomain 物件。 |
| LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
列舉本機系統目前信任的網域。 |
| LsaOpenTrustedDomainByName |
開啟 TrustedDomain 物件的控制碼。 |
| LsaQueryTrustedDomainInfo |
擷取受信任網域的相關資訊。 網域是由 SID 指定。 |
| LsaQueryTrustedDomainInfoByName |
擷取受信任網域的相關資訊。 網域是以名稱指定。 |
| LsaSetTrustedDomainInfoByName |
設定受信任網域的資訊。 網域是以名稱指定。 |
| LsaSetTrustedDomainInformation |
設定受信任網域的資訊。 網域是由 SID 指定。 |
私人資料函式
請勿使用 LSA 私人資料函式。 請改用 CryptProtectData 和 CryptUnprotectData 函式。
| 函式 | 描述 |
|---|---|
| LsaRetrievePrivateData |
擷取和解密字串。 |
| LsaStorePrivateData |
加密並儲存字串。 |
雜項函式
LSA 原則 API 具有下列三個不符合其他 LSA 原則函式類別的函式。
| 函式 | 描述 |
|---|---|
| LsaClose |
關閉 Policy 物件的控制碼或 TrustedDomain 物件。 |
| LsaFreeMemory |
釋放 LSA 函式配置的緩衝區。 |
| LsaNtStatusToWinError |
將 NTSTATUS 值轉換為 Windows 錯誤碼。 |
受控服務帳戶函式
下列函式可用來建立、列舉、尋找和刪除受控服務帳戶。
| 函式 | 描述 |
|---|---|
| NetAddServiceAccount |
建立受控服務帳戶。 |
| NetEnumerateServiceAccounts |
列舉指定伺服器上的伺服器帳戶。 |
| NetIsServiceAccount |
測試指定的服務帳戶是否存在於指定伺服器上的 Netlogon 存放區中。 |
| NetRemoveServiceAccount |
從 Active Directory 資料庫刪除指定的服務帳戶。 |
密碼篩選函式
下列密碼篩選函式是由自訂 密碼篩選 DLL 實作,以提供密碼篩選和密碼變更通知。
| 函式 | 描述 |
|---|---|
| InitializeChangeNotify |
表示密碼篩選 DLL 已初始化。 |
| PasswordChangeNotify |
表示密碼已變更。 |
| PasswordFilter |
根據密碼原則驗證新的密碼。 |
更安全的函式
下列更安全的函式可用來檢查任何可執行檔的安全層級,以及記錄事件。
| 函式 | 描述 |
|---|---|
| SaferCloseLevel | 關閉使用 SaferIdentifyLevel 函式或 SaferCreateLevel 函式開啟的SAFER_LEVEL_HANDLE。 |
| SaferComputeTokenFromLevel | 使用SAFER_LEVEL_HANDLE所指定的限制來限制權杖。 |
| SaferCreateLevel | 開啟SAFER_LEVEL_HANDLE。 |
| SaferGetLevelInformation | 擷取原則層級的相關資訊。 |
| SaferGetPolicyInformation | 擷取原則的相關資訊。 |
| SaferIdentifyLevel | 擷取層級的相關資訊。 |
| SaferiIsExecutableFileType | 判斷指定的檔案是否為可執行檔。 |
| SaferRecordEventLogEntry | 將訊息傳送至事件記錄檔。 |
| SaferSetLevelInformation | 設定原則層級的相關資訊。 |
| SaferSetPolicyInformation | 設定全域原則控制項。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應