SeOpenObjectForDeleteAuditAlarm 函式 (ntifs.h)
SeOpenObjectForDeleteAuditAlarm 例程會在嘗試開啟要刪除的物件時產生稽核和警示訊息。
語法
void SeOpenObjectForDeleteAuditAlarm(
[in] PUNICODE_STRING ObjectTypeName,
[in, optional] PVOID Object,
[in, optional] PUNICODE_STRING AbsoluteObjectName,
[in] PSECURITY_DESCRIPTOR SecurityDescriptor,
[in] PACCESS_STATE AccessState,
[in] BOOLEAN ObjectCreated,
[in] BOOLEAN AccessGranted,
[in] KPROCESSOR_MODE AccessMode,
[out] PBOOLEAN GenerateOnClose
);
參數
[in] ObjectTypeName
以 Null 終止字串的指標,指定用戶端要求存取的物件類型。 此字串會出現在任何產生的稽核訊息中。
[in, optional] Object
以意圖刪除開啟的物件位址。 只有輸入記錄訊息時,才需要此值。 如果開啟嘗試失敗,則會忽略 Object 的值。 否則,必須提供它。
[in, optional] AbsoluteObjectName
以 Null 終止字串的指標,指定要以意圖刪除開啟的物件名稱。 此字串會出現在任何產生的稽核訊息中。
[in] SecurityDescriptor
要刪除之物件之安全性描述元結構的指標。
[in] AccessState
包含對象主體內容的存取狀態結構的指標、剩餘所需的存取類型、授與存取類型,以及選擇性地設定許可權集,以指出哪些許可權是用來允許存取。
[in] ObjectCreated
如果開啟作業導致建立新的物件,則設定為 TRUE;如果開啟現有的物件,FALSE。
[in] AccessGranted
如果已根據先前的存取檢查或許可權檢查來授與開啟存取權,則設定為 TRUE,如果拒絕,FALSE。
[in] AccessMode
用於存取檢查的存取模式。 UserMode 或 KernelMode。
[out] GenerateOnClose
當 SeOpenObjectAuditAlarm 傳回時,稽核產生例程所設定旗標的指標。
傳回值
沒有
言論
SeOpenObjectForDeleteAuditAlarm 當使用者模式進程嘗試開啟意圖刪除物件的時,會產生任何必要的稽核或警示訊息。 指定旗標FILE_DELETE_ON_CLOSE時,文件系統會使用 SeOpenObjectForDeleteAuditAlarm。 未針對內核模式存取產生任何訊息。
呼叫 SeOpenObjectForDeleteAuditAlarm之前,呼叫端必須呼叫 SeLockSubjectContext,才能鎖定呼叫端的主要和模擬令牌。 呼叫 SeOpenObjectForDeleteAuditAlarm之後,呼叫端必須呼叫 SeUnlockSubjectContext 來釋放這些令牌。
如需安全性和訪問控制的詳細資訊,請參閱 適用於驅動程式開發人員的 Windows 安全性模型,以及 Windows SDK 中這些主題的檔。
要求
| 要求 | 價值 |
|---|---|
| 目標平臺 | 普遍 |
| 標頭 | ntifs.h (include Ntifs.h) |
| 連結庫 | NtosKrnl.lib |
| DLL | NtosKrnl.exe |
| IRQL | PASSIVE_LEVEL |