Функции управления безопасностью
В этом разделе содержатся разделы для следующих групп функций:
- функции обратного вызова вложений
- функции подсистемы вложений
- функции политики LSA
- функций управляемой учетной записи службы
- Функции фильтрации паролей
- безопасные функции
Функции обратного вызова вложений
Следующие функции поддержки предоставляются набором средств настройки безопасности и могут использоваться подсистемами вложений и оснастками расширений для чтения и записи данных конфигурации.
| Функция обратного вызова | Описание |
|---|---|
|
PFSCE_FREE_INFO |
Используется для освобождения памяти, выделенной этими функциями поддержки. |
|
PFSCE_LOG_INFO |
Используется для записи сообщения в файл журнала конфигурации или файл журнала анализа. |
|
PFSCE_QUERY_INFO |
Используется для запроса сведений о конфигурации и анализе для конкретной службы. |
|
PFSCE_SET_INFO |
Используется для задания сведений о конфигурации и анализе для конкретной службы. |
Функции подсистемы вложений
| Функция | Описание |
|---|---|
|
SceSvcAttachmentAnalyze |
Реализован библиотекой DLL подсистемы вложений. Подсистема конфигурации безопасности вызывает эту функцию при анализе системы. |
|
SceSvcAttachmentConfig |
Реализован библиотекой DLL подсистемы вложений. Подсистема конфигурации безопасности вызывает эту функцию при настройке системы. |
|
SceSvcAttachmentUpdate |
Реализован библиотекой DLL подсистемы вложений. Подсистема конфигурации безопасности вызывает эту функцию при получении запроса на обновление конфигурации из расширения оснастки вложения. |
Функции политики LSA
В следующих разделах приведены справочные сведения о функциях политики локального центра безопасности (LSA).
| Тема | Описание |
|---|---|
| Функции политики |
Функции сведений, используемые для открытия локального объекта политики и задания или получения сведений о глобальной политике. |
| Функции учетной записи |
Функции сведений, используемые для управления разрешениями учетной записи, а также для создания и удаления учетных записей пользователей. |
| Доверенные доменные функции |
Функции сведений, используемые для создания и удаления отношений доверенного домена, а также для задания и получения сведений об этих доверенных доменах. |
| Функции частных данных |
Не используйте функции частных данных LSA. Вместо этого используйте функцииCryptProtectDataи CryptUnprotectData. |
| Прочие функции |
Подробные функции, не описанные в другом месте. |
Функции политики
Следующие функции перечисляют учетные записи пользователей и доверенные домены, получают уведомления об изменениях политики, а также имена учетных записей подстановки и идентификаторы безопасности.
| Функция | Описание |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
Перечисляет все учетные записи с указанным разрешением пользователя. |
|
LsaEnumerateTrustedDomainsEx |
Перечисляет доверенные домены. |
|
LsaLookupNames |
Сопоставляет указанные имена с идентификаторами SID. Возвращает идентификатор безопасности в виде пары SID RID/Domain SID. |
|
LsaLookupNames2 |
Сопоставляет указанные имена с идентификаторами SID. Возвращает идентификатор БЕЗОПАСНОСТИ в виде одного элемента. |
|
LsaLookupPrivilegeValue |
Извлекает локально уникальный идентификатор (LUID), используемый локальным центром безопасности (LSA) для представления указанного имени привилегий. |
|
LsaLookupSids |
Сопоставляет указанные имена учетных записей с их идентификаторами БЕЗОПАСНОСТИ. |
|
LsaRegisterPolicyChangeNotification |
Регистрирует объект события для получения уведомлений при изменении сведений о локальной политике. |
|
LsaUnregisterPolicyChangeNotification |
Отменяет регистрацию объекта события, получающего уведомления об изменении политики. |
Функции учетной записи
Следующие функции добавляют, перечисляют и удаляют разрешения для учетной записи.
| Функция | Описание |
|---|---|
|
LsaAddAccountRights |
Добавление разрешений в учетную запись. Если учетная запись еще не существует, она создается. |
|
LsaEnumerateAccountRights |
Перечисление разрешений, предоставленных учетной записи. |
|
LsaRemoveAccountRights |
Удаление разрешений из учетной записи. После удаления всех разрешений учетная запись удаляется. |
Доверенные доменные функции
Следующие функции создают, перечисляют и удаляют доверенные домены и задают и получают сведения о доверенном домене.
| Функция | Описание |
|---|---|
|
LsaCreateTrustedDomainEx |
Создает новый объект TrustedDomain. |
|
LsaDeleteTrustedDomain |
Удаляет объект TrustedDomain. |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Перечисляет домены, доверенные в настоящее время локальной системой. |
|
LsaOpenTrustedDomainByName |
Открывает дескриптор для объекта TrustedDomain. |
|
LsaQueryTrustedDomainInfo |
Извлекает сведения о доверенном домене. Домен задается идентификатором БЕЗОПАСНОСТИ. |
|
LsaQueryTrustedDomainInfoByName |
Извлекает сведения о доверенном домене. Домен указывается по имени. |
|
LsaSetTrustedDomainInfoByName |
Задает сведения для доверенного домена. Домен указывается по имени. |
|
LsaSetTrustedDomainInformation |
Задает сведения для доверенного домена. Домен задается идентификатором БЕЗОПАСНОСТИ. |
Функции частных данных
Не используйте функции частных данных LSA. Вместо этого используйте функцииCryptProtectDataи CryptUnprotectData.
| Функция | Описание |
|---|---|
|
LsaRetrievePrivateData |
Извлекает и расшифровывает строку. |
|
LsaStorePrivateData |
Шифрует и сохраняет строку. |
Прочие функции
API политики LSA имеет следующие три функции, которые не соответствуют ни одной из других категорий функций политики LSA.
| Функция | Описание |
|---|---|
|
LsaClose |
Закрывает дескриптор к объектуполитикиили объекту TrustedDomain. |
|
LsaFreeMemory |
Освобождает буфер, выделенный функцией LSA. |
|
LsaNtStatusToWinError |
Преобразует значение NTSTATUS в код ошибки Windows. |
Функции управляемой учетной записи службы
Следующие функции используются для создания, перечисления, поиска и удаления управляемых учетных записей служб.
| Функция | Описание |
|---|---|
|
NetAddServiceAccount |
Создает управляемую учетную запись службы. |
|
NetEnumerateServiceAccounts |
Перечисляет учетные записи сервера на указанном сервере. |
|
NetIsServiceAccount |
Проверяет, существует ли указанная учетная запись службы в хранилище Netlogon на указанном сервере. |
|
NetRemoveServiceAccount |
Удаляет указанную учетную запись службы из базы данных Active Directory. |
Функции фильтра паролей
Следующие функции фильтра паролей реализуются пользовательскими библиотеками DLL фильтров паролей для предоставления уведомлений об изменении пароля и фильтрации паролей.
| Функция | Описание |
|---|---|
|
InitializeChangeNotify |
Указывает, что библиотека DLL фильтра паролей инициализирована. |
|
PasswordChangeNotify |
Указывает, что пароль был изменен. |
|
passwordFilter |
Проверяет новый пароль на основе политики паролей. |
Безопасные функции
Следующие функции "Безопаснее" можно использовать для проверки более безопасного уровня любого исполняемого файла и для регистрации событий.
| Функция | Описание |
|---|---|
| SaferCloseLevel | Закрывает SAFER_LEVEL_HANDLE, открываемый с помощью функции SaferIdentifyLevel или функции SaferCreateLevel. |
| SaferComputeTokenFromLevel | Ограничивает маркер с помощью ограничений, указанных SAFER_LEVEL_HANDLE. |
| SaferCreateLevel | Открывает SAFER_LEVEL_HANDLE. |
| SaferGetLevelInformation | Извлекает сведения о уровне политики. |
| SaferGetPolicyInformation | Извлекает сведения о политике. |
| SaferIdentifyLevel | Извлекает сведения об уровне. |
| SaferiIsExecutableFileType | Определяет, является ли указанный файл исполняемым файлом. |
| SaferRecordEventLogEntry | Отправляет сообщение в журнал событий. |
| SaferSetLevelInformation | Задает сведения о уровне политики. |
| SaferSetPolicyInformation | Задает элементы управления глобальной политикой. |