Функция SeOpenObjectAuditAlarm (ntifs.h)
Подпрограмма SeOpenObjectAuditAlarm создает сообщения аудита и оповещения при попытке открыть объект.
Синтаксис
void SeOpenObjectAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Параметры
[in] ObjectTypeName
Указатель на строку, завершающуюся значением NULL, указывающую тип объекта, к которому клиент запрашивает доступ. Эта строка отображается в любом созданном сообщении аудита.
[in, optional] Object
Адрес открываемого объекта. Это значение необходимо только для ввода в сообщения журнала. Если попытка открытия завершается неудачей, значение Object игнорируется. В противном случае он должен быть указан.
[in, optional] AbsoluteObjectName
Указатель на строку, завершающуюся значением NULL, указывающую имя открываемого объекта. Эта строка отображается в любом созданном сообщении аудита.
[in] SecurityDescriptor
Указатель на структуру дескриптора безопасности для открываемого объекта.
[in] AccessState
Указатель на структуру состояния доступа, содержащую контекст субъекта объекта, остающиеся требуемые типы доступа, предоставленные типы доступа и, при необходимости, набор привилегий, указывающий, какие привилегии были использованы для разрешения доступа.
[in] ObjectCreated
Задайте значение TRUE , если операция открытия приводит к созданию нового объекта, или значение FALSE , если открыт существующий объект.
[in] AccessGranted
Задайте значение TRUE, если открытый доступ был предоставлен на основе предыдущего проверка доступа или проверка привилегий, или false, если он был запрещен.
[in] AccessMode
Режим доступа, используемый для проверка доступа. Либо UserMode, либо KernelMode.
[out] GenerateOnClose
Указатель на флаг, установленный подпрограммой создания аудита при возврате SeOpenObjectAuditAlarm .
Возвращаемое значение
None
Remarks
SeOpenObjectAuditAlarm создает все необходимые сообщения аудита или оповещения для доступа в пользовательском режиме. Для доступа в режиме ядра сообщения не создаются.
Перед вызовом SeOpenObjectAuditAlarm вызывающий объект должен вызвать SeLockSubjectContext , чтобы заблокировать основной маркер и маркеры олицетворения вызывающего объекта. После вызова SeOpenObjectAuditAlarm вызывающий объект должен вызвать SeUnlockSubjectContext , чтобы освободить эти маркеры.
Дополнительные сведения о безопасности и управлении доступом см. в статье Модель безопасности Windows для разработчиков драйверов и в документации по этим темам в windows SDK.
Требования
| Требование | Значение |
|---|---|
| Целевая платформа | Универсальное |
| Верхняя часть | ntifs.h (включая Ntifs.h) |
| Библиотека | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |
См. также раздел
SeOpenObjectForDeleteAuditAlarm