ObjectPrivilegeAuditAlarmW-Funktion (securitybaseapi.h)
Die ObjectPrivilegeAuditAlarm-Funktion generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll. Ein geschützter Server kann diese Funktion verwenden, um Versuche eines Clients zur Verwendung eines angegebenen Berechtigungssatzes mit einem geöffneten Handle für ein privates Objekt zu protokollieren. Alarme werden derzeit nicht unterstützt.
Syntax
BOOL ObjectPrivilegeAuditAlarmW(
[in] LPCWSTR SubsystemName,
[in] LPVOID HandleId,
[in] HANDLE ClientToken,
[in] DWORD DesiredAccess,
[in] PPRIVILEGE_SET Privileges,
[in] BOOL AccessGranted
);
Parameter
[in] SubsystemName
Ein Zeiger auf eine NULL-beendete Zeichenfolge, die den Namen des Subsystems angibt, das die Funktion aufruft. Diese Zeichenfolge wird in der Überwachungsmeldung angezeigt.
[in] HandleId
Ein Zeiger auf einen eindeutigen Wert, der das Handle des Clients auf das Objekt darstellt.
[in] ClientToken
Gibt ein Zugriffstoken an, das den Client darstellt, der den Vorgang angefordert hat. Dieses Handle muss abgerufen worden sein, indem das Token eines Threads geöffnet wurde, der die Identität des Clients angibt. Das Token muss für TOKEN_QUERY Zugriff geöffnet sein. Die Funktion verwendet dieses Token, um die Identität des Clients für die Überwachungsnachricht abzurufen.
[in] DesiredAccess
Gibt eine Zugriffsmaske an, die die privilegierten Zugriffstypen angibt, die verwendet werden oder deren Verwendung versucht wird. Die Zugriffsmaske kann von der MapGenericMask-Funktion zugeordnet werden, sodass sie keine generischen Zugriffstypen enthält.
[in] Privileges
Ein Zeiger auf eine PRIVILEGE_SET-Struktur , die die Berechtigungen enthält, die der Client zu verwenden versucht hat. Die Namen der Berechtigungen werden in der Überwachungsmeldung angezeigt.
[in] AccessGranted
Gibt an, ob der Versuch des Clients, die Berechtigungen zu verwenden, erfolgreich war. Wenn dieser Wert TRUE ist, wird in der Überwachungsmeldung der Erfolg angegeben. Wenn dieser Wert FALSE ist, weist die Überwachungsmeldung auf einen Fehler hin.
Rückgabewert
Wenn die Funktion erfolgreich ist, ist der Rückgabewert ungleich Null.
Wenn die Funktion fehlerhaft ist, ist der Rückgabewert null. Um erweiterte Fehlerinformationen zu erhalten, rufen Sie GetLastError auf.
Hinweise
Die ObjectPrivilegeAuditAlarm-Funktion überprüft nicht den Zugriff des Clients auf das Objekt oder das Zugriffstoken des Clients, um zu bestimmen, ob die Berechtigungen gehalten oder aktiviert sind. In der Regel rufen Sie die PrivilegeCheck-Funktion auf, um zu bestimmen, ob die angegebenen Berechtigungen im Zugriffstoken aktiviert sind, rufen Sie die AccessCheck-Funktion auf, um den Zugriff des Clients auf das Objekt zu überprüfen, und rufen dann ObjectPrivilegeAuditAlarm auf, um die Ergebnisse zu protokollieren.
Die ObjectPrivilegeAuditAlarm-Funktion erfordert, dass der aufrufende Prozess SE_AUDIT_NAME Berechtigungen aktiviert hat. Der Test für diese Berechtigung wird immer für das primäre Token des aufrufenden Prozesses durchgeführt, nicht für das Identitätswechseltoken des Threads. Dadurch kann der aufrufende Prozess während des Anrufs die Identität eines Clients annehmen.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
Zielplattform | Windows |
Kopfzeile | securitybaseapi.h (einschließlich Windows.h) |
Bibliothek | Advapi32.lib |
DLL | Advapi32.dll |
Weitere Informationen
AccessCheck
AccessCheckAndAuditAlarm
Client-/Server-Access Control-Funktionen
Client/Server Access Control Übersicht
MapGenericMask
ObjectCloseAuditAlarm
ObjectOpenAuditAlarm
PRIVILEGE_SET
PrivilegeCheck
PrivilegedServiceAuditAlarm