Freigeben über

SeOpenObjectAuditAlarm-Funktion (ntifs.h)

  • Artikel

Die SeOpenObjectAuditAlarm Routine generiert Überwachungs- und Alarmmeldungen, wenn versucht wird, ein Objekt zu öffnen.

Syntax

void SeOpenObjectAuditAlarm(
  [in]           PUNICODE_STRING      ObjectTypeName,
  [in, optional] PVOID                Object,
  [in, optional] PUNICODE_STRING      AbsoluteObjectName,
  [in]           PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in]           PACCESS_STATE        AccessState,
  [in]           BOOLEAN              ObjectCreated,
  [in]           BOOLEAN              AccessGranted,
  [in]           KPROCESSOR_MODE      AccessMode,
  [out]          PBOOLEAN             GenerateOnClose
);

Parameter

[in] ObjectTypeName

Zeiger auf eine mit Null beendete Zeichenfolge, die den Typ des Objekts angibt, auf das der Client Zugriff anfordert. Diese Zeichenfolge wird in einer Überwachungsmeldung angezeigt, die generiert wird.

[in, optional] Object

Adresse des geöffneten Objekts. Dieser Wert ist nur erforderlich, um Protokollnachrichten einzugeben. Wenn der Öffnenversuch fehlschlägt, wird der Wert Object ignoriert. Andernfalls muss sie bereitgestellt werden.

[in, optional] AbsoluteObjectName

Zeiger auf eine mit Null beendete Zeichenfolge, die den Namen des geöffneten Objekts angibt. Diese Zeichenfolge wird in einer Überwachungsmeldung angezeigt, die generiert wird.

[in] SecurityDescriptor

Ein Zeiger auf die Sicherheitsbeschreibungsstruktur für das geöffnete Objekt.

[in] AccessState

Zeiger auf eine Zugriffsstatusstruktur, die den Betreffkontext des Objekts enthält, verbleibende gewünschte Zugriffstypen, gewährte Zugriffstypen und optional ein Berechtigungssatz, um anzugeben, welche Berechtigungen zum Zulassen des Zugriffs verwendet wurden.

[in] ObjectCreated

Wird auf TRUE- festgelegt, wenn der Öffnenvorgang bewirkt, dass ein neues Objekt erstellt wird, oder FALSE, wenn ein vorhandenes Objekt geöffnet wird.

[in] AccessGranted

Auf TRUE- festgelegt, wenn der Geöffnete Zugriff basierend auf einer vorherigen Zugriffsüberprüfung oder Berechtigungsprüfung gewährt wurde, oder FALSE-, wenn er verweigert wurde.

[in] AccessMode

Der Zugriffsmodus, der für die Zugriffsüberprüfung verwendet wird. Entweder UserMode oder KernelMode.

[out] GenerateOnClose

Zeiger auf ein Flag, das von der Überwachungsgenerierungsroutine festgelegt wird, wenn SeOpenObjectAuditAlarm- zurückgegeben wird.

Rückgabewert

Nichts

Bemerkungen

SeOpenObjectAuditAlarm generiert alle erforderlichen Überwachungs- oder Alarmmeldungen für Benutzermoduszugriffe. Für Kernelmoduszugriffe werden keine Nachrichten generiert.

Vor dem Aufrufen SeOpenObjectAuditAlarm-muss der Aufrufer SeLockSubjectContext- aufrufen, um die primären und Identitätswechseltoken des Aufrufers zu sperren. Nach dem Aufrufen SeOpenObjectAuditAlarmmuss der Aufrufer SeUnlockSubjectContext- aufrufen, um diese Token freizugeben.

Weitere Informationen zur Sicherheits- und Zugriffssteuerung finden Sie unter Windows-Sicherheitsmodell für Treiberentwickler und die Dokumentation zu diesen Themen im Windows SDK.

Anforderungen

Anforderung Wert
Zielplattform- Universal
Header- ntifs.h (einschließlich Ntifs.h)
Library NtosKrnl.lib
DLL- NtosKrnl.exe
IRQL- PASSIVE_LEVEL

Siehe auch

ACCESS_STATE

SECURITY_DESCRIPTOR

SeAuditingFileEvents

SeAuditingFileOrGlobalEvents

SeDeleteObjectAuditAlarm

SeLockSubjectContext-

SeOpenObjectForDeleteAuditAlarm

SeSetAccessStateGenericMapping

SeUnlockSubjectContext

UNICODE_STRING