SeOpenObjectForDeleteAuditAlarm 함수(ntifs.h)
SeOpenObjectForDeleteAuditAlarm 루틴은 삭제를 위해 개체를 열려고 할 때 감사 및 경보 메시지를 생성합니다.
구문
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
매개 변수
[in] ObjectTypeName
클라이언트가 액세스를 요청하는 개체의 형식을 지정하는 null로 끝나는 문자열에 대한 포인터입니다. 이 문자열은 생성된 감사 메시지에 표시됩니다.
[in, optional] Object
삭제할 의도로 열려 있는 개체의 주소입니다. 이 값은 로그 메시지를 입력하는 데만 필요합니다. 열린 시도가 실패하면 Object 값이 무시됩니다. 그렇지 않으면 제공해야 합니다.
[in, optional] AbsoluteObjectName
삭제할 의도로 열려는 개체의 이름을 지정하는 null로 끝나는 문자열에 대한 포인터입니다. 이 문자열은 생성된 감사 메시지에 표시됩니다.
[in] SecurityDescriptor
삭제할 의도로 열려는 개체의 보안 설명자 구조에 대한 포인터입니다.
[in] AccessState
개체의 주체 컨텍스트, 나머지 원하는 액세스 형식, 부여된 액세스 형식 및 선택적으로 액세스를 허용하는 데 사용된 권한을 나타내는 권한 집합을 포함하는 액세스 상태 구조에 대한 포인터입니다.
[in] ObjectCreated
열려 있는 작업으로 인해 새 개체가 만들어지면 TRUE 로, 기존 개체가 열려 있으면 FALSE 로 설정합니다.
[in] AccessGranted
이전 액세스 검사 또는 권한 검사 따라 열린 액세스 권한이 부여된 경우 TRUE로 설정하거나 거부된 경우 FALSE로 설정합니다.
[in] AccessMode
액세스 검사 사용되는 액세스 모드입니다. UserMode 또는 KernelMode.
[out] GenerateOnClose
SeOpenObjectAuditAlarm이 반환되는 경우 감사 생성 루틴에서 설정한 플래그에 대한 포인터입니다.
반환 값
없음
설명
SeOpenObjectForDeleteAuditAlarm 은 사용자 모드 프로세스가 개체를 삭제하려는 의도로 개체를 열려고 할 때 필요한 감사 또는 경보 메시지를 생성합니다. SeOpenObjectForDeleteAuditAlarm 은 플래그 FILE_DELETE_ON_CLOSE 지정될 때 파일 시스템에서 사용됩니다. 커널 모드 액세스에 대한 메시지가 생성되지 않습니다.
SeOpenObjectForDeleteAuditAlarm을 호출하기 전에 호출자는 SeLockSubjectContext를 호출하여 호출자의 기본 및 가장 토큰을 잠가야 합니다. SeOpenObjectForDeleteAuditAlarm을 호출한 후 호출자는 SeUnlockSubjectContext를 호출하여 이러한 토큰을 해제해야 합니다.
보안 및 액세스 제어에 대한 자세한 내용은 드라이버 개발자를 위한 Windows 보안 모델 및 Windows SDK의 이러한 topics 대한 설명서를 참조하세요.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 대상 플랫폼 | 유니버설 |
| 헤더 | ntifs.h(Ntifs.h 포함) |
| 라이브러리 | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |