Sicherheitsverwaltungsfunktionen

Dieser Abschnitt enthält Themen für die folgenden Gruppen von Funktionen:

Rückruffunktionen für Anlagen

Die folgenden Unterstützungsfunktionen werden vom Sicherheitskonfigurationstoolsatz bereitgestellt und können von Anlagen-Engines und Erweiterungs-Snap-Ins zum Lesen und Schreiben von Konfigurationsdaten verwendet werden.

Rückruffunktion BESCHREIBUNG
PFSCE_FREE_INFO
Wird verwendet, um von diesen Supportfunktionen zugeordneten Arbeitsspeicher freizugeben.
PFSCE_LOG_INFO
Wird verwendet, um nachrichten in der Konfigurationsprotokolldatei oder Analyseprotokolldatei zu protokollieren.
PFSCE_QUERY_INFO
Wird verwendet, um die Konfigurations- und Analyseinformationen für einen bestimmten Dienst abzufragen.
PFSCE_SET_INFO
Wird verwendet, um Konfigurations- und Analyseinformationen für einen bestimmten Dienst festzulegen.

Anlagen-Engine-Funktionen

Funktion BESCHREIBUNG
SceSvcAttachmentAnalyze
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System analysiert wird.
SceSvcAttachmentConfig
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn das System konfiguriert ist.
SceSvcAttachmentUpdate
Wird von der DLL der Anlagen-Engine implementiert. Die Sicherheitskonfigurations-Engine ruft diese Funktion auf, wenn sie eine Konfigurationsupdateanforderung von der Erweiterung des Anlagen-Snap-Ins empfängt.

LSA-Richtlinienfunktionen

Die folgenden Themen enthalten Referenzinformationen zu den Richtlinienfunktionen der lokalen Sicherheitsautorität (Local Security Authority , LSA).

Thema BESCHREIBUNG
Richtlinienfunktionen
Details zu Funktionen, die zum Öffnen des lokalen Policy-Objekts und zum Festlegen oder Abrufen globaler Richtlinieninformationen verwendet werden.
Kontofunktionen
Details zu Funktionen, die zum Verwalten von Kontoberechtigungen und zum Erstellen und Löschen von Benutzerkonten verwendet werden.
Vertrauenswürdige Domänenfunktionen
Enthält Details zu Funktionen, die zum Erstellen und Löschen vertrauenswürdiger Domänenbeziehungen und zum Festlegen und Abrufen von Informationen zu diesen vertrauenswürdigen Domänen verwendet werden.
Private Datenfunktionen
Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData .
Sonstige Funktionen
Detailfunktionen, die an anderer Stelle nicht beschrieben werden.

Richtlinienfunktionen

Mit den folgenden Funktionen werden Benutzerkonten und vertrauenswürdige Domänen aufgelistet, Richtlinienänderungsbenachrichtigungen empfangen und Kontonamen und SIDs gesucht.

Funktion BESCHREIBUNG
LsaEnumerateAccountsWithUserRight
Listet alle Konten auf, die über eine angegebene Benutzerberechtigung verfügen.
LsaEnumerateTrustedDomainsEx
Listet die vertrauenswürdigen Domänen auf.
LsaLookupNames
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als RID/Domänen-SID-Paar zurück.
LsaLookupNames2
Ordnet die angegebenen Namen ihren SIDs zu. Gibt die SID als einzelnes Element zurück.
LsaLookupPrivilegeValue
Ruft den lokal eindeutigen Bezeichner (Local Unique Identifier , LUID) ab, der von der lokalen Sicherheitsautorität (Local Security Authority , LSA) verwendet wird, um den angegebenen Berechtigungsnamen darzustellen.
LsaLookupSids
Ordnet die angegebenen Kontonamen ihren SIDs zu.
LsaRegisterPolicyChangeNotification
Registriert ein Ereignisobjekt, um Benachrichtigungen zu erhalten, wenn sich die lokalen Richtlinieninformationen ändern.
LsaUnregisterPolicyChangeNotification
Hebt die Registrierung eines Ereignisobjekts auf, das Richtlinienänderungsbenachrichtigungen empfängt.

Kontofunktionen

Mit den folgenden Funktionen können Berechtigungen für ein Konto hinzugefügt, aufgelistet und gelöscht werden.

Funktion BESCHREIBUNG
LsaAddAccountRights
Hinzufügen von Berechtigungen zu einem Konto. Wenn das Konto noch nicht vorhanden ist, wird es erstellt.
LsaEnumerateAccountRights
Listet die Berechtigungen auf, die einem Konto gewährt werden.
LsaRemoveAccountRights
Entfernen von Berechtigungen aus einem Konto. Wenn alle Berechtigungen entfernt werden, wird das Konto gelöscht.

Vertrauenswürdige Domänenfunktionen

Mit den folgenden Funktionen werden vertrauenswürdige Domänen erstellt, aufgezählt und gelöscht sowie vertrauenswürdige Domäneninformationen festgelegt und abgerufen.

Funktion BESCHREIBUNG
LsaCreateTrustedDomainEx
Erstellt ein neues TrustedDomain-Objekt .
LsaDeleteTrustedDomain
Entfernt ein TrustedDomain-Objekt .
LsaEnumerateTrustedDomains
LsaEnumerateTrustedDomainsEx
Listet die Domänen auf, die derzeit vom lokalen System als vertrauenswürdig eingestuft werden.
LsaOpenTrustedDomainByName
Öffnet ein Handle für ein TrustedDomain-Objekt .
LsaQueryTrustedDomainInfo
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch die SID angegeben.
LsaQueryTrustedDomainInfoByName
Ruft Informationen zu einer vertrauenswürdigen Domäne ab. Die Domäne wird durch den Namen angegeben.
LsaSetTrustedDomainInfoByName
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch den Namen angegeben.
LsaSetTrustedDomainInformation
Legt Informationen für eine vertrauenswürdige Domäne fest. Die Domäne wird durch die SID angegeben.

Private Datenfunktionen

Verwenden Sie nicht die privaten LSA-Datenfunktionen. Verwenden Sie stattdessen die Funktionen CryptProtectData und CryptUnprotectData .

Funktion BESCHREIBUNG
LsaRetrievePrivateData
Ruft eine Zeichenfolge ab und entschlüsselt sie.
LsaStorePrivateData
Verschlüsselt und speichert eine Zeichenfolge.

Sonstige Funktionen

Die LSA-Richtlinien-API verfügt über die folgenden drei Funktionen, die nicht in eine der anderen LSA-Richtlinienfunktionskategorien passen.

Funktion BESCHREIBUNG
LsaClose
Schließt ein Handle für ein Policy-Objekt oder ein TrustedDomain-Objekt .
LsaFreeMemory
Gibt einen Puffer frei, der von einer LSA-Funktion zugeordnet wird.
LsaNtStatusToWinError
Konvertiert einen NTSTATUS-Wert in einen Windows-Fehlercode.

Verwaltete Dienstkontofunktionen

Die folgenden Funktionen werden verwendet, um verwaltete Dienstkonten zu erstellen, aufzulisten, zu finden und zu löschen.

Funktion BESCHREIBUNG
NetAddServiceAccount
Erstellt ein verwaltetes Dienstkonto.
NetEnumerateServiceAccounts
Listet die Serverkonten auf dem angegebenen Server auf.
NetIsServiceAccount
Testet, ob das angegebene Dienstkonto im Netlogon-Speicher auf dem angegebenen Server vorhanden ist.
NetRemoveServiceAccount
Löscht das angegebene Dienstkonto aus der Active Directory-Datenbank .

Kennwortfilterfunktionen

Die folgenden Kennwortfilterfunktionen werden von benutzerdefinierten Kennwortfilter-DLLs implementiert, um Kennwortfilterung und Kennwortänderungsbenachrichtigungen bereitzustellen.

Funktion BESCHREIBUNG
InitializeChangeNotify
Gibt an, dass eine Kennwortfilter-DLL initialisiert wird.
PasswordChangeNotify
Gibt an, dass ein Kennwort geändert wurde.
PasswordFilter
Überprüft ein neues Kennwort basierend auf der Kennwortrichtlinie.

Sicherere Funktionen

Die folgenden Safer-Funktionen können verwendet werden, um die sicherere Ebene einer ausführbaren Datei zu überprüfen und Ereignisse zu protokollieren.

Funktion BESCHREIBUNG
SaferCloseLevel Schließt eine SAFER_LEVEL_HANDLE, die mithilfe der SaferIdentifyLevel-Funktion oder der SaferCreateLevel-Funktion geöffnet wird.
SaferComputeTokenFromLevel Schränkt ein Token mithilfe von Einschränkungen ein, die von einem SAFER_LEVEL_HANDLE angegeben werden.
SaferCreateLevel Öffnet eine SAFER_LEVEL_HANDLE.
SaferGetLevelInformation Ruft Informationen zu einer Richtlinienebene ab.
SaferGetPolicyInformation Ruft Informationen zu einer Richtlinie ab.
SaferIdentifyLevel Ruft Informationen zu einer Ebene ab.
SaferiIsExecutableFileType Bestimmt, ob eine angegebene Datei eine ausführbare Datei ist.
SaferRecordEventLogEntry Sendet eine Nachricht an das Ereignisprotokoll.
SaferSetLevelInformation Legt die Informationen zu einer Richtlinienebene fest.
SaferSetPolicyInformation Legt die globalen Richtliniensteuerelemente fest.