Sicherheitsverwaltungsfunktionen
Dieser Abschnitt enthält Themen für die folgenden Funktionsgruppen:
- Anlagenrückruffunktionen
- Funktionen des Anlagenmoduls
- LSA-Richtlinienfunktionen
- Funktionen des verwalteten Dienstkontos
- Kennwortfilterfunktionen
- sicherere Funktionen
Rückruffunktionen für Anlagen
Die folgenden Supportfunktionen werden vom Toolset "Sicherheitskonfiguration" bereitgestellt und können von Anlagenmodulen und Erweiterungs-Snap-Ins verwendet werden, um Konfigurationsdaten zu lesen und zu schreiben.
| Rückruffunktion | Beschreibung |
|---|---|
|
PFSCE_FREE_INFO |
Wird verwendet, um von diesen Supportfunktionen zugewiesenen Arbeitsspeicher freizugeben. |
|
PFSCE_LOG_INFO |
Wird verwendet, um die Nachricht in der Konfigurationsprotokolldatei oder Analyseprotokolldatei zu protokollieren. |
|
PFSCE_QUERY_INFO |
Wird verwendet, um die Konfigurations- und Analyseinformationen für einen bestimmten Dienst abzufragen. |
|
PFSCE_SET_INFO |
Wird verwendet, um Konfigurations- und Analyseinformationen für einen bestimmten Dienst festzulegen. |
Anlagenmodulfunktionen
| Funktion | Beschreibung |
|---|---|
|
SceSvcAttachmentAnalyze |
Implementiert durch die Anlagenmodul-DLL. Das Sicherheitskonfigurationsmodul ruft diese Funktion auf, wenn das System analysiert wird. |
|
SceSvcAttachmentConfig |
Implementiert durch die Anlagenmodul-DLL. Das Sicherheitskonfigurationsmodul ruft diese Funktion auf, wenn das System konfiguriert ist. |
|
SceSvcAttachmentUpdate |
Implementiert durch die Anlagenmodul-DLL. Das Sicherheitskonfigurationsmodul ruft diese Funktion auf, wenn sie eine Konfigurationsupdateanforderung aus der Erweiterung des Anlagen-Snap-Ins empfängt. |
LSA-Richtlinienfunktionen
Die folgenden Themen enthalten Referenzinformationen für die Lokalen Sicherheitsbehörde (LSA)-Richtlinienfunktionen.
| Thema | Beschreibung |
|---|---|
| Richtlinienfunktionen |
Detailfunktionen zum Öffnen des lokalen Policy-Objekts und zum Festlegen oder Abrufen von globalen Richtlinieninformationen. |
| Kontofunktionen |
Details-Funktionen zum Verwalten von Kontoberechtigungen und zum Erstellen und Löschen von Benutzerkonten. |
| Vertrauenswürdige Domänenfunktionen |
Detailfunktionen zum Erstellen und Löschen vertrauenswürdiger Domänenbeziehungen und zum Festlegen und Abrufen von Informationen zu diesen vertrauenswürdigen Domänen. |
| Private Datenfunktionen |
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die funktionen CryptProtectData und CryptUnprotectData. |
| Verschiedene Funktionen |
Detailsfunktionen, die nicht an anderer Stelle beschrieben werden. |
Richtlinienfunktionen
Die folgenden Funktionen enumerieren Benutzerkonten und vertrauenswürdige Domänen, Empfangen von Richtlinienänderungsbenachrichtigungen und Nachschlagekontonamen und SIDs.
| Funktion | Beschreibung |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
Listet alle Konten auf, die über eine angegebene Benutzerberechtigung verfügen. |
|
LsaEnumerateTrustedDomainsEx |
Listet die vertrauenswürdigen Domänen auf. |
|
LsaLookupNames- |
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als RID/Domain SID-Paar zurück. |
|
LsaLookupNames2 |
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als einzelnes Element zurück. |
|
LsaLookupPrivilegeValue |
Ruft den lokal eindeutigen Bezeichner (LUID) ab, der von der lokalen Sicherheitsbehörde (LSA) verwendet wird, um den angegebenen Berechtigungsnamen darzustellen. |
|
LsaLookupSids |
Ordnet die angegebenen Kontonamen ihren SIDs zu. |
|
LsaRegisterPolicyChangeNotification- |
Registriert ein Ereignisobjekt, um Benachrichtigungen zu empfangen, wenn sich die lokalen Richtlinieninformationen ändern. |
|
LsaUnregisterPolicyChangeNotification |
Hebt die Registrierung eines Ereignisobjekts auf, das Richtlinienänderungsbenachrichtigungen empfängt. |
Kontofunktionen
Die folgenden Funktionen fügen Berechtigungen für ein Konto hinzu, enumerieren und löschen.
| Funktion | Beschreibung |
|---|---|
|
LsaAddAccountRights |
Hinzufügen von Berechtigungen zu einem Konto. Wenn das Konto noch nicht vorhanden ist, wird es erstellt. |
|
LsaEnumerateAccountRights |
Aufzählen der Berechtigungen, die einem Konto gewährt wurden. |
|
LsaRemoveAccountRights |
Entfernen sie Berechtigungen aus einem Konto. Wenn alle Berechtigungen entfernt werden, wird das Konto gelöscht. |
Vertrauenswürdige Domänenfunktionen
Die folgenden Funktionen erstellen, auflisten und löschen vertrauenswürdige Domänen und legen vertrauenswürdige Domänen fest und rufen vertrauenswürdige Domäneninformationen ab.
| Funktion | Beschreibung |
|---|---|
|
LsaCreateTrustedDomainEx |
Erstellt ein neues TrustedDomain-Objekt. |
|
LsaDeleteTrustedDomain- |
Entfernt ein TrustedDomain -Objekt. |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Listet die Domänen auf, die derzeit vom lokalen System vertrauenswürdig sind. |
|
LsaOpenTrustedDomainByName |
Öffnet ein Handle für ein TrustedDomain--Objekt. |
|
LsaQueryTrustedDomainInfo |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird von DER SID angegeben. |
|
LsaQueryTrustedDomainInfoByName |
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird anhand des Namens angegeben. |
|
LsaSetTrustedDomainInfoByName |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird anhand des Namens angegeben. |
|
LsaSetTrustedDomainInformation |
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird von DER SID angegeben. |
Private Datenfunktionen
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die funktionen CryptProtectData und CryptUnprotectData.
| Funktion | Beschreibung |
|---|---|
|
LsaRetrievePrivateData- |
Ruft eine Zeichenfolge ab und entschlüsselt sie. |
|
LsaStorePrivateData- |
Verschlüsselt und speichert eine Zeichenfolge. |
Verschiedene Funktionen
Die LSA-Richtlinien-API verfügt über die folgenden drei Funktionen, die nicht in eine der anderen LSA-Richtlinienkategorien passen.
| Funktion | Beschreibung |
|---|---|
|
LsaClose |
Schließt ein Handle mit einem Policy--Objekt oder einem TrustedDomain--Objekt. |
|
LsaFreeMemory |
Gibt einen Puffer frei, der von einer LSA-Funktion zugeordnet ist. |
|
LsaNtStatusToWinError |
Wandelt einen NTSTATUS- Wert in einen Windows-Fehlercode um. |
Funktionen des verwalteten Dienstkontos
Die folgenden Funktionen werden verwendet, um verwaltete Dienstkonten zu erstellen, auflisten, suchen und löschen.
| Funktion | Beschreibung |
|---|---|
|
NetAddServiceAccount- |
Erstellt ein verwaltetes Dienstkonto. |
|
NetEnumerateServiceAccounts |
Listet die Serverkonten auf dem angegebenen Server auf. |
|
NetIsServiceAccount- |
Testet, ob das angegebene Dienstkonto im Netlogon-Speicher auf dem angegebenen Server vorhanden ist. |
|
NetRemoveServiceAccount |
Löscht das angegebene Dienstkonto aus der Active Directory--Datenbank. |
Kennwortfilterfunktionen
Die folgenden Kennwortfilter Funktionen werden von benutzerdefinierten Kennwortfilter-DLLs implementiert, um Kennwortfilter- und Kennwortänderungsbenachrichtigungen bereitzustellen.
| Funktion | Beschreibung |
|---|---|
|
InitializeChangeNotify- |
Gibt an, dass eine Kennwortfilter-DLL initialisiert wird. |
|
PasswordChangeNotify- |
Gibt an, dass ein Kennwort geändert wurde. |
|
PasswordFilter- |
Überprüft ein neues Kennwort basierend auf der Kennwortrichtlinie. |
Sicherere Funktionen
Die folgenden sichereren Funktionen können verwendet werden, um die sicherere Ebene jeder ausführbaren Datei zu überprüfen und Ereignisse zu protokollieren.
| Funktion | Beschreibung |
|---|---|
| SaferCloseLevel | Schließt eine SAFER_LEVEL_HANDLE, die mithilfe der funktion SaferIdentifyLevel oder der funktion SaferCreateLevel geöffnet wird. |
| SaferComputeTokenFromLevel | Schränkt ein Token mithilfe von Einschränkungen ein, die durch eine SAFER_LEVEL_HANDLE angegeben werden. |
| SaferCreateLevel | Öffnet eine SAFER_LEVEL_HANDLE. |
| SaferGetLevelInformation | Ruft Informationen zu einer Richtlinienebene ab. |
| SaferGetPolicyInformation- | Ruft Informationen zu einer Richtlinie ab. |
| SaferIdentifyLevel | Ruft Informationen zu einer Ebene ab. |
| SaferiIsExecutableFileType | Bestimmt, ob es sich bei einer angegebenen Datei um eine ausführbare Datei handelt. |
| SaferRecordEventLogEntry | Sendet eine Nachricht an das Ereignisprotokoll. |
| SaferSetLevelInformation | Legt die Informationen zu einer Richtlinienebene fest. |
| SaferSetPolicyInformation- | Legt die globalen Richtliniensteuerelemente fest. |