SeOpenObjectForDeleteAuditAlarm-Funktion (ntifs.h)
Die SeOpenObjectForDeleteAuditAlarm- Routine generiert Überwachungs- und Alarmmeldungen, wenn versucht wird, ein Objekt zum Löschen zu öffnen.
Syntax
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Parameter
[in] ObjectTypeName
Zeiger auf eine mit Null beendete Zeichenfolge, die den Typ des Objekts angibt, auf das der Client Zugriff anfordert. Diese Zeichenfolge wird in einer Überwachungsmeldung angezeigt, die generiert wird.
[in, optional] Object
Adresse des Objekts, das geöffnet wird, um es zu löschen. Dieser Wert ist nur erforderlich, um Protokollnachrichten einzugeben. Wenn der Öffnenversuch fehlschlägt, wird der Wert Object ignoriert. Andernfalls muss sie bereitgestellt werden.
[in, optional] AbsoluteObjectName
Zeigen Sie auf eine mit Null beendete Zeichenfolge, die den Namen des Objekts angibt, das geöffnet wird, um es zu löschen. Diese Zeichenfolge wird in einer Überwachungsmeldung angezeigt, die generiert wird.
[in] SecurityDescriptor
Ein Zeiger auf die Sicherheitsdeskriptorstruktur für das Objekt, das geöffnet wird, um es zu löschen.
[in] AccessState
Zeiger auf eine Zugriffsstatusstruktur, die den Betreffkontext des Objekts enthält, verbleibende gewünschte Zugriffstypen, gewährte Zugriffstypen und optional ein Berechtigungssatz, um anzugeben, welche Berechtigungen zum Zulassen des Zugriffs verwendet wurden.
[in] ObjectCreated
Wird auf TRUE- festgelegt, wenn der Öffnenvorgang bewirkt, dass ein neues Objekt erstellt wird, oder FALSE, wenn ein vorhandenes Objekt geöffnet wird.
[in] AccessGranted
Auf TRUE- festgelegt, wenn der Geöffnete Zugriff basierend auf einer vorherigen Zugriffsüberprüfung oder Berechtigungsprüfung gewährt wurde, oder FALSE-, wenn er verweigert wurde.
[in] AccessMode
Der Zugriffsmodus, der für die Zugriffsüberprüfung verwendet wird. Entweder UserMode oder KernelMode.
[out] GenerateOnClose
Zeiger auf ein Flag, das von der Überwachungsgenerierungsroutine festgelegt wird, wenn SeOpenObjectAuditAlarm- zurückgegeben wird.
Rückgabewert
Nichts
Bemerkungen
SeOpenObjectForDeleteAuditAlarm alle erforderlichen Überwachungs- oder Alarmmeldungen generiert, wenn ein Benutzermodusprozess versucht, ein Objekt mit der Absicht zu öffnen, es zu löschen. SeOpenObjectForDeleteAuditAlarm wird von Dateisystemen verwendet, wenn das Flag FILE_DELETE_ON_CLOSE angegeben wird. Für Kernelmoduszugriffe werden keine Nachrichten generiert.
Vor dem Aufrufen SeOpenObjectForDeleteAuditAlarm-muss der Aufrufer SeLockSubjectContext- aufrufen, um die primären und Identitätswechseltoken des Aufrufers zu sperren. Nach dem Aufrufen SeOpenObjectForDeleteAuditAlarmmuss der Aufrufer SeUnlockSubjectContext- aufrufen, um diese Token freizugeben.
Weitere Informationen zur Sicherheits- und Zugriffssteuerung finden Sie unter Windows-Sicherheitsmodell für Treiberentwickler und die Dokumentation zu diesen Themen im Windows SDK.
Anforderungen
| Anforderung | Wert |
|---|---|
| Zielplattform- | Universal |
| Header- | ntifs.h (einschließlich Ntifs.h) |
| Library | NtosKrnl.lib |
| DLL- | NtosKrnl.exe |
| IRQL- | PASSIVE_LEVEL |