ObjectPrivilegeAuditAlarmW

セキュリティイベントログに監査メッセージを生成する。(ObjectPrivilegeAuditAlarmW)

ObjectPrivilegeAuditAlarmW SubsystemName, HandleId, ClientToken, DesiredAccess, Privileges, AccessGranted

SubsystemName : [wstr] 関数を呼び出すサブシステムの名前を指定する null 終端文字列へのポインタ。この文字列は監査メッセージに現れる。
HandleId : [intptr] オブジェクトへのクライアントのハンドルを表す一意の値へのポインタ。
ClientToken : [intptr] 操作を要求したクライアントを表すアクセストークンを識別する。このハンドルはクライアントを偽装するスレッドのトークンを開くことによって取得する必要がある。トークンは TOKEN_QUERY アクセスで開く必要がある。関数は監査メッセージのクライアントの ID を取得するためにこのトークンを使用する。
DesiredAccess : [int] 使用されている、または使用が試みられている特権アクセスの種類を示すアクセスマスクを指定する。アクセスマスクは、汎用アクセス型を含まないように MapGenericMask 関数でマップできる。
Privileges : [var] クライアントが使用しようとした特権を含む PRIVILEGE_SET 構造体へのポインタ。特権の名前は監査メッセージに現れる。
AccessGranted : [int] クライアントの特権使用の試みが成功したかどうかを示す。この値が TRUE の場合、監査メッセージは成功を示す。この値が FALSE の場合、監査メッセージは失敗を示す。

(プラグイン / モジュール : advapi32.dll)

解説

セキュリティイベントログに監査メッセージを生成する。(ObjectPrivilegeAuditAlarmW)

[戻り値]
関数が成功した場合、戻り値は 0 以外である。関数が失敗した場合、戻り値は 0 である。拡張エラー情報を取得するには
GetLastError を呼び出す。

[備考]
ObjectPrivilegeAuditAlarm
関数はクライアントのオブジェクトへのアクセスを確認したり、特権が保持または有効になっているかどうかを判断するためにクライアントのアクセストークンを確認したりしない。通常、特定の特権がアクセストークンで有効になっているかどうかを判断するために
PrivilegeCheck 関数を呼び出し、AccessCheck
関数を呼び出してクライアントのオブジェクトへのアクセスを確認し、その後 ObjectPrivilegeAuditAlarm
を呼び出して結果をログに記録する。ObjectPrivilegeAuditAlarm 関数は、呼び出し元プロセスが
SE_AUDIT_NAME
特権を有効にしていることを必要とする。この特権のテストは常に呼び出し元プロセスのプライマリトークンに対して実行され、スレッドの偽装トークンに対しては実行されない。これにより、呼び出し元プロセスは呼び出し中にクライアントを偽装できる。

情報