PrivilegedServiceAuditAlarmW-Funktion (securitybaseapi.h)
Die PrivilegedServiceAuditAlarm-Funktion generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll. Ein geschützter Server kann diese Funktion verwenden, um Versuche eines Clients zur Verwendung eines angegebenen Berechtigungssatzes zu protokollieren.
Alarme werden derzeit nicht unterstützt.
Syntax
BOOL PrivilegedServiceAuditAlarmW(
[in] LPCWSTR SubsystemName,
[in] LPCWSTR ServiceName,
[in] HANDLE ClientToken,
[in] PPRIVILEGE_SET Privileges,
[in] BOOL AccessGranted
);
Parameter
[in] SubsystemName
Ein Zeiger auf eine NULL-beendete Zeichenfolge, die den Namen des Subsystems angibt, das die Funktion aufruft. Diese Informationen werden im Protokolldatensatz für Sicherheitsereignisse angezeigt.
[in] ServiceName
Ein Zeiger auf eine null-beendete Zeichenfolge, die den Namen des privilegierten Subsystemdiensts angibt. Diese Informationen werden im Protokolldatensatz für Sicherheitsereignisse angezeigt.
[in] ClientToken
Gibt ein Zugriffstoken an, das den Client darstellt, der den Vorgang angefordert hat. Dieses Handle muss abgerufen worden sein, indem das Token eines Threads geöffnet wurde, der die Identität des Clients angibt. Das Token muss für TOKEN_QUERY Zugriff geöffnet sein. Die Funktion verwendet dieses Token, um die Identität des Clients für den Sicherheitsereignisprotokolldatensatz abzurufen.
[in] Privileges
Ein Zeiger auf eine PRIVILEGE_SET-Struktur , die die Berechtigungen enthält, die der Client zu verwenden versucht hat. Die Namen der Berechtigungen werden im Sicherheitsereignisprotokolldatensatz angezeigt.
[in] AccessGranted
Gibt an, ob der Versuch des Clients, die Berechtigungen zu verwenden, erfolgreich war. Wenn dieser Wert TRUE ist, gibt der Protokolldatensatz für sicherheitsrelevante Ereignisse den Erfolg an. Wenn dieser Wert FALSE ist, weist der Protokolldatensatz für sicherheitsrelevante Ereignisse auf einen Fehler hin.
Rückgabewert
Wenn die Funktion erfolgreich ist, ist der Rückgabewert ungleich Null.
Wenn die Funktion fehlerhaft ist, ist der Rückgabewert null. Um erweiterte Fehlerinformationen zu erhalten, rufen Sie GetLastError auf.
Hinweise
Die PrivilegedServiceAuditAlarm-Funktion überprüft das Zugriffstoken des Clients nicht, um zu bestimmen, ob die Berechtigungen gehalten oder aktiviert sind. In der Regel rufen Sie zuerst die PrivilegeCheck-Funktion auf, um zu bestimmen, ob die angegebenen Berechtigungen im Zugriffstoken aktiviert sind, und rufen dann PrivilegedServiceAuditAlarm auf, um die Ergebnisse zu protokollieren.
Die PrivilegedServiceAuditAlarm-Funktion erfordert, dass für den aufrufenden Prozess SE_AUDIT_NAME Berechtigungen aktiviert sind. Der Test für diese Berechtigung wird immer für das primäre Token des aufrufenden Prozesses durchgeführt. Dadurch kann der aufrufende Prozess während des Anrufs die Identität eines Clients annehmen.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
Zielplattform | Windows |
Kopfzeile | securitybaseapi.h (einschließlich Windows.h) |
Bibliothek | Advapi32.lib |
DLL | Advapi32.dll |
Weitere Informationen
Client-/Server-Access Control-Funktionen
Client/Server Access Control Übersicht
ObjectPrivilegeAuditAlarm
PRIVILEGE_SET
PrivilegeCheck