安全管理功能
本部分包含以下函数组的主题:
附件回调函数
以下支持函数由安全配置工具集提供,附件引擎和扩展管理单元可用于读取和写入配置数据。
| 回调函数 | 说明 |
|---|---|
|
PFSCE_FREE_INFO |
用于释放这些支持函数分配的内存。 |
|
PFSCE_LOG_INFO |
用于将消息记录到配置日志文件或分析日志文件。 |
|
PFSCE_QUERY_INFO |
用于查询特定服务的配置和分析信息。 |
|
PFSCE_SET_INFO |
用于设置特定服务的配置和分析信息。 |
附件引擎函数
| 函数 | 说明 |
|---|---|
|
SceSvcAttachmentAnalyze |
由附件引擎 DLL 实现。 分析系统时,安全配置引擎会调用此函数。 |
|
SceSvcAttachmentConfig |
由附件引擎 DLL 实现。 配置系统时,安全配置引擎会调用此函数。 |
|
SceSvcAttachmentUpdate |
由附件引擎 DLL 实现。 安全配置引擎在收到来自附件管理单元扩展的配置更新请求时调用此函数。 |
LSA 策略函数
以下主题提供了 本地安全机构 (LSA) Policy 函数的参考信息。
| 主题 | 说明 |
|---|---|
| 策略函数 |
用于打开本地 Policy 对象以及设置或检索全局策略信息的详细信息函数。 |
| 帐户函数 |
用于管理帐户权限以及创建和删除用户帐户的详细信息函数。 |
| 受信任的域函数 |
用于创建和删除受信任域关系以及设置和检索有关这些受信任域的信息的详细信息函数。 |
| 专用数据函数 |
请勿使用 LSA 专用数据函数。 请改用 CryptProtectData 和 CryptUnprotectData 函数。 |
| 杂项函数 |
详细信息函数未在其他位置描述。 |
策略函数
以下函数枚举用户帐户和受信任的域、接收策略更改通知以及查找帐户名称和 SID。
| 函数 | 说明 |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
枚举具有指定用户权限的所有帐户。 |
|
LsaEnumerateTrustedDomainsEx |
枚举受信任的域。 |
|
LsaLookupNames |
将指定名称映射到其 SID。 以 RID/域 SID 对的形式返回 SID。 |
|
LsaLookupNames2 |
将指定名称映射到其 SID。 以单个元素的形式返回 SID。 |
|
LsaLookupPrivilegeValue |
检索本地安全机构 (LSA) 用来表示指定权限名称的本地唯一标识符 (LUID) 。 |
|
LsaLookupSids |
将指定的帐户名称映射到其 SID。 |
|
LsaRegisterPolicyChangeNotification |
注册一个事件对象,以在本地策略信息更改时接收通知。 |
|
LsaUnregisterPolicyChangeNotification |
取消注册正在接收策略更改通知的事件对象。 |
帐户函数
以下函数为帐户添加、枚举和删除权限。
| 函数 | 说明 |
|---|---|
|
LsaAddAccountRights |
向帐户添加权限。 如果帐户尚不存在,则会创建该帐户。 |
|
LsaEnumerateAccountRights |
枚举授予帐户的权限。 |
|
LsaRemoveAccountRights |
从帐户中删除权限。 删除所有权限后,将删除该帐户。 |
受信任的域函数
以下函数创建、枚举和删除受信任的域,并设置和检索受信任的域信息。
| 函数 | 说明 |
|---|---|
|
LsaCreateTrustedDomainEx |
创建新的 TrustedDomain 对象。 |
|
LsaDeleteTrustedDomain |
删除 TrustedDomain 对象。 |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
枚举本地系统当前信任的域。 |
|
LsaOpenTrustedDomainByName |
打开 TrustedDomain 对象的句柄。 |
|
LsaQueryTrustedDomainInfo |
检索有关受信任域的信息。 域由 SID 指定。 |
|
LsaQueryTrustedDomainInfoByName |
检索有关受信任域的信息。 域由名称指定。 |
|
LsaSetTrustedDomainInfoByName |
设置受信任域的信息。 域由名称指定。 |
|
LsaSetTrustedDomainInformation |
设置受信任域的信息。 域由 SID 指定。 |
专用数据函数
请勿使用 LSA 专用数据函数。 请改用 CryptProtectData 和 CryptUnprotectData 函数。
| 函数 | 说明 |
|---|---|
|
LsaRetrievePrivateData |
检索和解密字符串。 |
|
LsaStorePrivateData |
加密并存储字符串。 |
杂项函数
LSA 策略 API 具有以下三个函数,这些函数不适用于任何其他 LSA Policy 函数类别。
| 函数 | 说明 |
|---|---|
|
LsaClose |
关闭 Policy 对象或 TrustedDomain 对象的句柄。 |
|
LsaFreeMemory |
释放 LSA 函数分配的缓冲区。 |
|
LsaNtStatusToWinError |
将 NTSTATUS 值转换为 Windows 错误代码。 |
托管服务帐户函数
以下函数用于创建、枚举、查找和删除托管服务帐户。
| 函数 | 说明 |
|---|---|
|
NetAddServiceAccount |
创建托管服务帐户。 |
|
NetEnumerateServiceAccounts |
枚举指定服务器上的服务器帐户。 |
|
NetIsServiceAccount |
测试指定服务器上的 Netlogon 存储中是否存在指定的服务帐户。 |
|
NetRemoveServiceAccount |
从 Active Directory 数据库中删除指定的服务帐户。 |
密码筛选器函数
以下 密码筛选器 函数由自定义密码筛选器 DLL 实现,以提供密码筛选和密码更改通知。
| 函数 | 说明 |
|---|---|
|
InitializeChangeNotify |
指示已初始化密码筛选器 DLL。 |
|
PasswordChangeNotify |
指示密码已更改。 |
|
PasswordFilter |
根据密码策略验证新密码。 |
更安全的函数
以下更安全函数可用于检查任何可执行文件的更安全级别以及记录事件。
| 函数 | 说明 |
|---|---|
| SaferCloseLevel | 关闭使用 SaferIdentifyLevel 函数或 SaferCreateLevel 函数打开的SAFER_LEVEL_HANDLE。 |
| SaferComputeTokenFromLevel | 使用SAFER_LEVEL_HANDLE指定的限制来限制令牌。 |
| SaferCreateLevel | 打开SAFER_LEVEL_HANDLE。 |
| SaferGetLevelInformation | 检索有关策略级别的信息。 |
| SaferGetPolicyInformation | 检索有关策略的信息。 |
| SaferIdentifyLevel | 检索有关某个级别的信息。 |
| SaferiIsExecutableFileType | 确定指定的文件是否为可执行文件。 |
| SaferRecordEventLogEntry | 将消息发送到事件日志。 |
| SaferSetLevelInformation | 设置有关策略级别的信息。 |
| SaferSetPolicyInformation | 设置全局策略控件。 |