Функция SeOpenObjectAuditAlarm (ntifs.h)
Программа SeOpenObjectAuditAlarm создает сообщения аудита и оповещения при попытке открыть объект.
Синтаксис
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Параметры
[in] ObjectTypeName
Указатель на строку, завершающую значение NULL, указывающую тип объекта, к которому клиент запрашивает доступ. Эта строка отображается в любом созданном сообщении аудита.
[in, optional] Object
Адрес открываемого объекта. Это значение необходимо только для ввода в сообщения журнала. Если открытая попытка завершается ошибкой, значение объекта игнорируется. В противном случае оно должно быть предоставлено.
[in, optional] AbsoluteObjectName
Указатель на строку, завершающую значение NULL, указывающую имя открываемого объекта. Эта строка отображается в любом созданном сообщении аудита.
[in] SecurityDescriptor
Указатель на структуру дескриптора безопасности для открываемого объекта.
[in] AccessState
Указатель на структуру состояния доступа, содержащую контекст субъекта объекта, оставшиеся нужные типы доступа, предоставленные типы доступа и, при необходимости, набор привилегий, указывающий, какие привилегии использовались для разрешения доступа.
[in] ObjectCreated
Установите значение TRUE, если открытая операция приводит к созданию нового объекта или false, если открыт существующий объект.
[in] AccessGranted
Установите значение TRUE, если открытый доступ был предоставлен на основе предыдущей проверки доступа или проверки привилегий, или FALSE, если он был отклонен.
[in] AccessMode
Режим доступа, используемый для проверки доступа. Либо UserMode, либо KernelMode.
[out] GenerateOnClose
Указатель на флаг, заданный подпрограммой создания аудита при возврате SeOpenObjectAuditAlarm.
Возвращаемое значение
Никакой
Замечания
SeOpenObjectAuditAlarm создает все необходимые сообщения аудита или оповещения для доступа в режиме пользователя. Сообщения не создаются для доступа в режиме ядра.
Перед вызовом SeOpenObjectAuditAlarmвызывающий объект должен вызвать SeLockSubjectContext, чтобы заблокировать первичные и олицетворения маркеров вызывающего объекта. После вызова SeOpenObjectAuditAlarmвызывающий объект должен вызвать SeUnlockSubjectContext, чтобы освободить эти токены.
Дополнительные сведения о безопасности и управлении доступом см. в модели безопасности Windows для разработчиков драйверов и документации по этим разделам в пакете SDK для Windows.
Требования
| Требование | Ценность |
|---|---|
| целевая платформа | Всеобщий |
| заголовка | ntifs.h (include Ntifs.h) |
| библиотеки | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
См. также
SeOpenObjectForDeleteAuditAlarm