SeOpenObjectForDeleteAuditAlarm 函数 (ntifs.h)
当尝试打开要删除的对象时, SeOpenObjectForDeleteAuditAlarm 例程生成审核和警报消息。
语法
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
参数
[in] ObjectTypeName
指向以 null 结尾的字符串的指针,该字符串指定客户端请求访问的对象的类型。 此字符串显示在生成的任何审核消息中。
[in, optional] Object
要删除的打开对象的地址。 只有在输入日志消息时,才需要此值。 如果打开尝试失败,将忽略 Object 的值。 否则,必须提供它。
[in, optional] AbsoluteObjectName
指向以 null 结尾的字符串的指针,该字符串指定要删除的对象的名称。 此字符串显示在生成的任何审核消息中。
[in] SecurityDescriptor
指向要删除的打开对象的安全描述符结构的指针。
[in] AccessState
指向访问状态结构的指针,该结构包含对象的使用者上下文、剩余的所需访问类型、授予的访问权限类型,以及(可选)一个权限集,用于指示使用哪些特权来允许访问。
[in] ObjectCreated
如果打开操作导致创建新对象,则设置为 TRUE ;如果打开现有对象,则设置为 FALSE 。
[in] AccessGranted
如果基于以前的访问检查或特权检查授予开放访问权限,则设置为 TRUE;如果拒绝,则设置为 FALSE。
[in] AccessMode
用于访问检查的访问模式。 UserMode 或 KernelMode。
[out] GenerateOnClose
指向 SeOpenObjectAuditAlarm 返回时审核生成例程设置的标志的指针。
返回值
无
备注
当用户模式进程尝试打开意图删除对象时,SeOpenObjectForDeleteAuditAlarm 生成任何必要的审核或警报消息。 指定标志FILE_DELETE_ON_CLOSE时,文件系统使用 SeOpenObjectForDeleteAuditAlarm。 不会为内核模式访问生成任何消息。
在调用 SeOpenObjectForDeleteAuditAlarm 之前,调用方必须调用 SeLockSubjectContext 来锁定调用方的主要令牌和模拟令牌。 调用 SeOpenObjectForDeleteAuditAlarm 后,调用方必须调用 SeUnlockSubjectContext 来释放这些令牌。
有关安全性和访问控制的详细信息,请参阅 面向驱动程序开发人员的 Windows 安全模型 和 Windows SDK 中有关这些主题的文档。
要求
| 要求 | 值 |
|---|---|
| 目标平台 | 通用 |
| 标头 | ntifs.h (包括 Ntifs.h) |
| Library | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |