PrivilegedServiceAuditAlarmA-Funktion (winbase.h)

Die PrivilegedServiceAuditAlarm-Funktion generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll. Ein geschützter Server kann diese Funktion verwenden, um Versuche eines Clients zur Verwendung eines angegebenen Berechtigungssatzes zu protokollieren.

Alarme werden derzeit nicht unterstützt.

Syntax

BOOL PrivilegedServiceAuditAlarmA(
  [in] LPCSTR         SubsystemName,
  [in] LPCSTR         ServiceName,
  [in] HANDLE         ClientToken,
  [in] PPRIVILEGE_SET Privileges,
  [in] BOOL           AccessGranted
);

Parameter

[in] SubsystemName

Ein Zeiger auf eine NULL-beendete Zeichenfolge, die den Namen des Subsystems angibt, das die Funktion aufruft. Diese Informationen werden im Protokolldatensatz für Sicherheitsereignisse angezeigt.

[in] ServiceName

Ein Zeiger auf eine null-beendete Zeichenfolge, die den Namen des privilegierten Subsystemdiensts angibt. Diese Informationen werden im Protokolldatensatz für Sicherheitsereignisse angezeigt.

[in] ClientToken

Gibt ein Zugriffstoken an, das den Client darstellt, der den Vorgang angefordert hat. Dieses Handle muss abgerufen worden sein, indem das Token eines Threads geöffnet wurde, der die Identität des Clients angibt. Das Token muss für TOKEN_QUERY Zugriff geöffnet sein. Die Funktion verwendet dieses Token, um die Identität des Clients für den Sicherheitsereignisprotokolldatensatz abzurufen.

[in] Privileges

Ein Zeiger auf eine PRIVILEGE_SET-Struktur , die die Berechtigungen enthält, die der Client zu verwenden versucht hat. Die Namen der Berechtigungen werden im Sicherheitsereignisprotokolldatensatz angezeigt.

[in] AccessGranted

Gibt an, ob der Versuch des Clients, die Berechtigungen zu verwenden, erfolgreich war. Wenn dieser Wert TRUE ist, gibt der Protokolldatensatz für sicherheitsrelevante Ereignisse den Erfolg an. Wenn dieser Wert FALSE ist, weist der Protokolldatensatz für sicherheitsrelevante Ereignisse auf einen Fehler hin.

Rückgabewert

Wenn die Funktion erfolgreich ist, ist der Rückgabewert ungleich Null.

Wenn die Funktion fehlerhaft ist, ist der Rückgabewert null. Um erweiterte Fehlerinformationen zu erhalten, rufen Sie GetLastError auf.

Hinweise

Die PrivilegedServiceAuditAlarm-Funktion überprüft das Zugriffstoken des Clients nicht, um zu bestimmen, ob die Berechtigungen gehalten oder aktiviert sind. In der Regel rufen Sie zuerst die PrivilegeCheck-Funktion auf, um zu bestimmen, ob die angegebenen Berechtigungen im Zugriffstoken aktiviert sind, und rufen dann PrivilegedServiceAuditAlarm auf, um die Ergebnisse zu protokollieren.

Die PrivilegedServiceAuditAlarm-Funktion erfordert, dass für den aufrufenden Prozess SE_AUDIT_NAME Berechtigungen aktiviert sind. Der Test für diese Berechtigung wird immer für das primäre Token des aufrufenden Prozesses durchgeführt. Dadurch kann der aufrufende Prozess während des Anrufs die Identität eines Clients annehmen.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Zielplattform Windows
Kopfzeile winbase.h (einschließlich Windows.h)
Bibliothek Advapi32.lib
DLL Advapi32.dll

Weitere Informationen

Client-/Server-Access Control-Funktionen

Client/Server Access Control Übersicht

ObjectPrivilegeAuditAlarm

PRIVILEGE_SET

PrivilegeCheck