Функции управления безопасностью
В этом разделе содержатся разделы для следующих групп функций:
- Функции обратного вызова вложений
- Функции подсистемы вложений
- Функции политики LSA
- Функции управляемой учетной записи службы
- Функции фильтра паролей
- Более безопасные функции
Функции обратного вызова вложений
Следующие функции поддержки предоставляются набором средств настройки безопасности и могут использоваться подсистемами вложений и оснастками расширений для чтения и записи данных конфигурации.
| Функция обратного вызова | Описание |
|---|---|
|
PFSCE_FREE_INFO |
Используется для освобождения памяти, выделенной этими вспомогательными функциями. |
|
PFSCE_LOG_INFO |
Используется для записи сообщения в файл журнала конфигурации или файл журнала анализа. |
|
PFSCE_QUERY_INFO |
Используется для запроса сведений о конфигурации и анализе для определенной службы. |
|
PFSCE_SET_INFO |
Используется для задания сведений о конфигурации и анализе для конкретной службы. |
Функции подсистемы вложений
| Функция | Описание |
|---|---|
|
SceSvcAttachmentAnalyze |
Реализуется библиотекой DLL подсистемы вложений. Подсистема конфигураций безопасности вызывает эту функцию при анализе системы. |
|
SceSvcAttachmentConfig |
Реализуется библиотекой DLL подсистемы вложений. Подсистема конфигурации безопасности вызывает эту функцию при настройке системы. |
|
SceSvcAttachmentUpdate |
Реализуется библиотекой DLL подсистемы вложений. Подсистема конфигураций безопасности вызывает эту функцию, когда получает запрос на обновление конфигурации от расширения оснастки вложения. |
Функции политики LSA
В следующих разделах приводятся справочные сведения о функциях политики локального центра безопасности (LSA).
| Раздел | Описание |
|---|---|
| Функции политики |
Подробные сведения о функциях, используемых для открытия локального объекта Policy , а также для задания или получения сведений о глобальной политике. |
| Функции учетной записи |
Подробные сведения о функциях, используемых для управления разрешениями учетной записи, а также для создания и удаления учетных записей пользователей. |
| Функции доверенного домена |
Подробные сведения о функциях, используемых для создания и удаления отношений доверенного домена, а также для задания и извлечения сведений об этих доверенных доменах. |
| Функции частных данных |
Не используйте функции частных данных LSA. Вместо этого используйте функции CryptProtectData и CryptUnprotectData . |
| Прочие функции |
Подробные сведения о функциях, не описанных в других местах. |
Функции политики
Следующие функции перечисляют учетные записи пользователей и доверенные домены, получают уведомления об изменениях политики, а также имена учетных записей подстановки и идентификаторы безопасности.
| Функция | Описание |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
Перечисляет все учетные записи с указанными разрешениями пользователя. |
|
LsaEnumerateTrustedDomainsEx |
Перечисляет доверенные домены. |
|
LsaLookupNames |
Сопоставляет указанные имена с идентификаторами БЕЗОПАСНОСТИ. Возвращает идентификатор безопасности в виде пары RID/Domain SID. |
|
LsaLookupNames2 |
Сопоставляет указанные имена с идентификаторами БЕЗОПАСНОСТИ. Возвращает идентификатор безопасности в виде одного элемента. |
|
LsaLookupPrivilegeValue |
Извлекает локальный уникальный идентификатор (LUID), используемый локальным центром безопасности (LSA) для представления указанного имени привилегии. |
|
LsaLookupSids |
Сопоставляет указанные имена учетных записей с идентификаторами БЕЗОПАСНОСТИ. |
|
LsaRegisterPolicyChangeNotification |
Регистрирует объект события для получения уведомлений при изменении сведений о локальной политике. |
|
LsaUnregisterPolicyChangeNotification |
Отменяет регистрацию объекта события, получающего уведомления об изменениях политики. |
Функции учетной записи
Следующие функции добавляют, перечисляют и удаляют разрешения для учетной записи.
| Функция | Описание |
|---|---|
|
LsaAddAccountRights |
Добавление разрешений для учетной записи. Если учетная запись еще не существует, она создается. |
|
LsaEnumerateAccountRights |
Перечисление разрешений, предоставленных учетной записи. |
|
LsaRemoveAccountRights |
Удаление разрешений для учетной записи. После удаления всех разрешений учетная запись удаляется. |
Функции доверенного домена
Следующие функции создают, перечисляют и удаляют доверенные домены, а также задают и извлекают сведения о доверенном домене.
| Функция | Описание |
|---|---|
|
LsaCreateTrustedDomainEx |
Создает новый объект TrustedDomain . |
|
LsaDeleteTrustedDomain |
Удаляет объект TrustedDomain . |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Перечисляет домены, которым сейчас доверяет локальная система. |
|
LsaOpenTrustedDomainByName |
Открывает дескриптор объекта TrustedDomain . |
|
LsaQueryTrustedDomainInfo |
Извлекает сведения о доверенном домене. Домен задается идентификатором безопасности. |
|
LsaQueryTrustedDomainInfoByName |
Извлекает сведения о доверенном домене. Домен указывается по имени. |
|
LsaSetTrustedDomainInfoByName |
Задает сведения для доверенного домена. Домен указывается по имени. |
|
LsaSetTrustedDomainInformation |
Задает сведения для доверенного домена. Домен задается идентификатором безопасности. |
Функции частных данных
Не используйте функции частных данных LSA. Вместо этого используйте функции CryptProtectData и CryptUnprotectData .
| Функция | Описание |
|---|---|
|
LsaRetrievePrivateData |
Извлекает и расшифровывает строку. |
|
LsaStorePrivateData |
Шифрует и сохраняет строку. |
Прочие функции
API политики LSA имеет следующие три функции, которые не вписываются ни в одну из других категорий функций политики LSA.
| Функция | Описание |
|---|---|
|
LsaClose |
Закрывает дескриптор для объекта Policy или объекта TrustedDomain . |
|
LsaFreeMemory |
Освобождает буфер, выделенный функцией LSA. |
|
LsaNtStatusToWinError |
Преобразует значение NTSTATUS в код ошибки Windows. |
Функции управляемой учетной записи службы
Следующие функции используются для создания, перечисления, поиска и удаления управляемых учетных записей служб.
| Функция | Описание |
|---|---|
|
NetAddServiceAccount |
Создает управляемую учетную запись службы. |
|
NetEnumerateServiceAccounts |
Перечисляет учетные записи сервера на указанном сервере. |
|
NetIsServiceAccount |
Проверяет, существует ли указанная учетная запись службы в хранилище Netlogon на указанном сервере. |
|
NetRemoveServiceAccount |
Удаляет указанную учетную запись службы из базы данных Active Directory . |
Функции фильтра паролей
Следующие функции фильтрации паролей реализуются пользовательскими библиотеками DLL для фильтрации паролей и уведомления об изменении пароля.
| Функция | Описание |
|---|---|
|
InitializeChangeNotify |
Указывает, что библиотека DLL фильтра паролей инициализирована. |
|
PasswordChangeNotify |
Указывает, что пароль был изменен. |
|
PasswordFilter |
Проверяет новый пароль на основе политики паролей. |
Более безопасные функции
Следующие функции Safer можно использовать для проверка более безопасного уровня любого исполняемого файла и записи событий в журнал.
| Функция | Описание |
|---|---|
| SaferCloseLevel | Закрывает SAFER_LEVEL_HANDLE, открытую с помощью функции SaferIdentifyLevel или SaferCreateLevel . |
| SaferComputeTokenFromLevel | Ограничивает маркер с помощью ограничений, заданных SAFER_LEVEL_HANDLE. |
| SaferCreateLevel | Открывает SAFER_LEVEL_HANDLE. |
| SaferGetLevelInformation | Извлекает сведения об уровне политики. |
| SaferGetPolicyInformation | Извлекает сведения о политике. |
| SaferIdentifyLevel | Извлекает сведения об уровне. |
| SaferiIsExecutableFileType | Определяет, является ли указанный файл исполняемым. |
| SaferRecordEventLogEntry | Отправляет сообщение в журнал событий. |
| SaferSetLevelInformation | Задает сведения об уровне политики. |
| SaferSetPolicyInformation | Задает элементы управления глобальной политикой. |