Funzione WldpCanExecuteFile (wldp.h)
Esegue query sul fatto che il criterio di esecuzione consenta l'esecuzione del codice nel file fornito.
Sintassi
HRESULT WldpCanExecuteFile(
[in] REFGUID host,
[in] WLDP_EXECUTION_EVALUATION_OPTIONS options,
[in] HANDLE fileHandle,
[in, optional] PCWSTR auditInfo,
[out] WLDP_EXECUTION_POLICY *result
);
Parametri
[in] host
GUID che specifica il programma chiamante. Per l'elenco di GUID predefiniti che possono essere usati per questo parametro, vedere GUID host WLDP. Per gli host per i quali non è definito un valore specifico, usare guid WLDP_HOST_GUID_OTHER.
[in] options
Valore del WLDP_EXECUTION_EVALUATION_OPTIONS che specifica le opzioni per la richiesta di autorizzazione di esecuzione.
[in] fileHandle
Handle del file convalidato per l'approvazione dell'esecuzione.
Importante
I chiamanti devono passare solo handle di file aperti a WldpCanExecuteFile e non devono memorizzare nella cache l'autorizzazione di sicurezza in un file specifico. Si presuppone che l'autorizzazione per eseguire un determinato file venga revocata quando il relativo handle file viene chiuso. Queste misure sono necessarie per evitare vulnerabilità TOC/TOU che potrebbero annullare i criteri di applicazione dello script.
[in, optional] auditInfo
Stringa che deve includere informazioni contestuali pertinenti per il chiamante da usare nel debug. Se una richiesta di autorizzazione ha esito negativo, questa stringa verrà registrata nel registro eventi, in "Applocker/MSI e Script/Operational". I chiamanti devono notare che, mentre AuditInfo non è limitato, la stringa deve essere inferiore a 4K byte in dimensioni perché verrà inserita nel registro eventi.
[out] result
Riceve un puntatore a un valore dall'enumerazione WLDP_EXECUTION_POLICY , che indica il risultato del criterio di esecuzione della query.
Valore restituito
Restituisce S_OK in caso di esito positivo e un codice di errore in caso contrario.
Commenti
Questo metodo viene fornito come sostituzione di WldpGetLockdownPolicy. Questa interfaccia è differenziata da WldpGetLockdownPolicy nei modi seguenti:
- Incoraggia i chiamanti a garantire che l'oggetto (file, buffer o flusso) passi i criteri di esecuzione del sistema operativo.
- Consente alle app di chiamata di fornire informazioni di controllo aggiuntive a scopo di diagnostica.
- Consente la verifica dei buffer e dei flussi di codice.
- Semplifica il modello di chiamata.
- Supporta criteri di esecuzione con granularità fine, ad esempio la modalità interattiva in cmd o powershell
Requisiti
| Client minimo supportato | Windows 11, Build 22621 |
| Server minimo supportato | Windows 11, Build 22621 |
| Intestazione | wldp.h |
| Libreria | wldp.lib |
| DLL | wldp.dll |