WldpCanExecuteFile 函式 (wldp.h)
查詢執行原則是否允許在提供的檔案中執行程式碼。
語法
HRESULT WldpCanExecuteFile(
[in] REFGUID host,
[in] WLDP_EXECUTION_EVALUATION_OPTIONS options,
[in] HANDLE fileHandle,
[in, optional] PCWSTR auditInfo,
[out] WLDP_EXECUTION_POLICY *result
);
參數
[in] host
指定呼叫程式的 GUID。 如需可用於此參數的預先定義 GUID 清單,請參閱 WLDP 主機 GUID。 若為未定義特定值的主機,請使用 GUID WLDP_HOST_GUID_OTHER。
[in] options
WLDP_EXECUTION_EVALUATION_OPTIONS 指定執行 授權要求選項的值。
[in] fileHandle
正在驗證以進行執行核准之檔案的控制碼。
重要
呼叫端應該只將開啟的檔案控制碼傳遞至 WldpCanExecuteFile ,而且不應該快取特定檔案的安全性授權。 它應該假設當檔案控制碼關閉時,會撤銷執行特定檔案的授權。 這些量值是必要的,以防止可能會破壞腳本強制執行原則的 TOC/TOU 弱點 。
[in, optional] auditInfo
字串,應該包含相關內容資訊,以供呼叫端用於偵錯。 如果授權要求失敗,此字串將會記錄在事件記錄檔中的 「Applocker/MSI 和 Scripts/Operational」 底下。 呼叫端應該注意,雖然 AuditInfo 的大小不受限制,但字串的大小應該小於 4K 位元組,因為它會放在事件記錄檔中。
[out] result
從 WLDP_EXECUTION_POLICY 列舉接收值的指標,指出查詢的執行原則結果。
傳回值
傳回成功時S_OK,否則傳回失敗碼。
備註
這個方法可作為 WldpGetLockdownPolicy的取代專案。 此介面以下列方式與 WldpGetLockdownPolicy 區別:
- 鼓勵呼叫者確保主體 (檔案、緩衝區或資料流程) 通過 os 執行原則。
- 允許呼叫應用程式提供其他稽核資訊以供診斷之用。
- 允許驗證緩衝區和程式碼資料流程。
- 簡化呼叫模式。
- 支援細部執行原則,例如 Cmd 或 powershell 中的互動式模式
規格需求
最低支援的用戶端 | Windows 11組建 22621 |
最低支援的伺服器 | Windows 11組建 22621 |
標頭 | wldp.h |
程式庫 | wldp.lib |
Dll | wldp.dll |