SeOpenObjectForDeleteAuditAlarm, fonction (ntifs.h)
La routine SeOpenObjectForDeleteAuditAlarm génère des messages d’audit et d’alarme lorsqu’une tentative d’ouverture d’un objet à des fins de suppression est effectuée.
Syntaxe
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Paramètres
[in] ObjectTypeName
Pointeur vers une chaîne terminée par null spécifiant le type d’objet auquel le client demande l’accès. Cette chaîne apparaît dans tout message d’audit généré.
[in, optional] Object
Adresse de l’objet ouvert avec l’intention de supprimer. Cette valeur est nécessaire uniquement pour entrer dans les messages de journal. Si la tentative d’ouverture échoue, la valeur de Object est ignorée. Sinon, elle doit être fournie.
[in, optional] AbsoluteObjectName
Pointeur vers une chaîne terminée par null spécifiant le nom de l’objet ouvert avec l’intention de supprimer. Cette chaîne apparaît dans tout message d’audit généré.
[in] SecurityDescriptor
Pointeur vers la structure du descripteur de sécurité pour l’objet ouvert avec l’intention de supprimer.
[in] AccessState
Pointeur vers une structure d’état d’accès contenant le contexte objet de l’objet, les types d’accès souhaités restants, les types d’accès accordés et, éventuellement, un jeu de privilèges pour indiquer quels privilèges ont été utilisés pour autoriser l’accès.
[in] ObjectCreated
Défini sur TRUE si l’opération d’ouverture provoque la création d’un nouvel objet, ou FALSE si un objet existant est ouvert.
[in] AccessGranted
Défini sur TRUE si l’accès ouvert a été accordé en fonction d’une vérification d’accès ou d’une vérification des privilèges précédents, ou FAUX s’il a été refusé.
[in] AccessMode
Mode d’accès utilisé pour la vérification d’accès. userMode ou KernelMode.
[out] GenerateOnClose
Pointeur vers un indicateur défini par la routine de génération d’audit lorsque SeOpenObjectAuditAlarm retourne.
Valeur de retour
Aucun
Remarques
SeOpenObjectForDeleteAuditAlarm génère les messages d’audit ou d’alarme nécessaires lorsqu’un processus en mode utilisateur tente d’ouvrir un objet avec l’intention de le supprimer. SeOpenObjectForDeleteAuditAlarm est utilisé par les systèmes de fichiers lorsque l’indicateur FILE_DELETE_ON_CLOSE est spécifié. Aucun message n’est généré pour les accès en mode noyau.
Avant d’appeler SeOpenObjectForDeleteAuditAlarm, l’appelant doit appeler SeLockSubjectContext pour verrouiller les jetons principaux et d’emprunt d’identité de l’appelant. Après avoir appelé SeOpenObjectForDeleteAuditAlarm, l’appelant doit appeler SeUnlockSubjectContext pour libérer ces jetons.
Pour plus d’informations sur la sécurité et le contrôle d’accès, consultez modèle de sécurité Windows pour les développeurs de pilotes et la documentation sur ces rubriques dans le Kit de développement logiciel (SDK) Windows.
Exigences
| Exigence | Valeur |
|---|---|
| plateforme cible | Universel |
| d’en-tête | ntifs.h (include Ntifs.h) |
| bibliothèque | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |