Функция SeOpenObjectForDeleteAuditAlarm (ntifs.h)
Программа SeOpenObjectForDeleteAuditAlarm создает сообщения аудита и оповещения при попытке открыть объект для удаления.
Синтаксис
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
Параметры
[in] ObjectTypeName
Указатель на строку, завершающую значение NULL, указывающую тип объекта, к которому клиент запрашивает доступ. Эта строка отображается в любом созданном сообщении аудита.
[in, optional] Object
Адрес открываемого объекта с намерением удаления. Это значение необходимо только для ввода в сообщения журнала. Если открытая попытка завершается ошибкой, значение объекта игнорируется. В противном случае оно должно быть предоставлено.
[in, optional] AbsoluteObjectName
Указатель на строку, завершающуюся значением NULL, указывающую имя объекта, открываемого с намерением удалить. Эта строка отображается в любом созданном сообщении аудита.
[in] SecurityDescriptor
Указатель на структуру дескриптора безопасности для открываемого объекта с намерением удаления.
[in] AccessState
Указатель на структуру состояния доступа, содержащую контекст субъекта объекта, оставшиеся нужные типы доступа, предоставленные типы доступа и, при необходимости, набор привилегий, указывающий, какие привилегии использовались для разрешения доступа.
[in] ObjectCreated
Установите значение TRUE, если открытая операция приводит к созданию нового объекта или false, если открыт существующий объект.
[in] AccessGranted
Установите значение TRUE, если открытый доступ был предоставлен на основе предыдущей проверки доступа или проверки привилегий, или FALSE, если он был отклонен.
[in] AccessMode
Режим доступа, используемый для проверки доступа. Либо UserMode, либо KernelMode.
[out] GenerateOnClose
Указатель на флаг, заданный подпрограммой создания аудита при возврате SeOpenObjectAuditAlarm.
Возвращаемое значение
Никакой
Замечания
SeOpenObjectForDeleteAuditAlarm создает все необходимые сообщения аудита или оповещения, когда процесс пользовательского режима пытается открыть объект с намерением удалить его. SeOpenObjectForDeleteAuditAlarm используется файловыми системами при указании флага FILE_DELETE_ON_CLOSE. Сообщения не создаются для доступа в режиме ядра.
Перед вызовом SeOpenObjectForDeleteAuditAlarmвызывающий объект должен вызвать SeLockSubjectContext, чтобы заблокировать основные и олицетворения маркеров вызывающего объекта. После вызова SeOpenObjectForDeleteAuditAlarmвызывающий объект должен вызвать SeUnlockSubjectContext, чтобы освободить эти токены.
Дополнительные сведения о безопасности и управлении доступом см. в модели безопасности Windows для разработчиков драйверов и документации по этим разделам в пакете SDK для Windows.
Требования
| Требование | Ценность |
|---|---|
| целевая платформа | Всеобщий |
| заголовка | ntifs.h (include Ntifs.h) |
| библиотеки | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |