Função WldpCanExecuteFile (wldp.h)
Consulta se a política de execução permite a execução do código no arquivo fornecido.
Sintaxe
HRESULT WldpCanExecuteFile(
[in] REFGUID host,
[in] WLDP_EXECUTION_EVALUATION_OPTIONS options,
[in] HANDLE fileHandle,
[in, optional] PCWSTR auditInfo,
[out] WLDP_EXECUTION_POLICY *result
);
Parâmetros
[in] host
Um GUID que especifica o programa de chamada. Para obter a lista de GUIDs predefinidos que podem ser usados para esse parâmetro, consulte GUIDs de host WLDP. Para hosts para os quais um valor específico não está definido, use GUID WLDP_HOST_GUID_OTHER.
[in] options
Um valor do WLDP_EXECUTION_EVALUATION_OPTIONS especificando opções para a solicitação de autorização de execução.
[in] fileHandle
O identificador para o arquivo que está sendo validado para aprovação de execução.
Importante
Os chamadores só devem passar identificadores de arquivo abertos para WldpCanExecuteFile e não devem armazenar em cache a autorização de segurança em um arquivo específico. Supõe-se que a autorização para executar um arquivo específico seja revogada quando seu identificador de arquivo for fechado. Essas medidas são necessárias para evitar vulnerabilidades de TOC/TOU que poderiam subverter a política de imposição de script.
[in, optional] auditInfo
Uma cadeia de caracteres que deve incluir informações contextuais relevantes para o chamador usar na depuração. Se uma solicitação de autorização falhar, essa cadeia de caracteres será registrada no log de eventos, em "Applocker/MSI e Scripts/Operacional". Os chamadores devem observar que, embora o AuditInfo não seja limitado por tamanho, a cadeia de caracteres deve ter menos de 4K bytes de tamanho, pois ela será colocada no log de eventos.
[out] result
Recebe um ponteiro para um valor da enumeração WLDP_EXECUTION_POLICY , indicando o resultado da política de execução da consulta.
Valor retornado
Retorna S_OK em caso de êxito e um código de falha caso contrário.
Comentários
Esse método é fornecido como um substituto para WldpGetLockdownPolicy. Essa interface é diferenciada de WldpGetLockdownPolicy das seguintes maneiras:
- Incentiva os chamadores a garantir que o assunto (arquivo, buffer ou fluxo) passe pela política de execução do sistema operacional.
- Permite que os aplicativos de chamada forneçam informações de auditoria adicionais para fins de diagnóstico.
- Permite a verificação de buffers e fluxos de código.
- Simplifica o padrão de chamada.
- Dá suporte a políticas de execução refinadas, como, por exemplo, modo interativo no cmd ou powershell
Requisitos
| Cliente mínimo com suporte | Windows 11, Build 22621 |
| Servidor mínimo com suporte | Windows 11, Build 22621 |
| Cabeçalho | wldp.h |
| Biblioteca | wldp.lib |
| DLL | wldp.dll |