セキュリティイベントログに監査メッセージを生成する。(PrivilegedServiceAuditAlarmW)
PrivilegedServiceAuditAlarmW SubsystemName, ServiceName, ClientToken, Privileges, AccessGranted
SubsystemName : [wstr] 関数を呼び出すサブシステムの名前を指定する null 終端文字列へのポインタ。この情報はセキュリティイベントログレコードに現れる。 ServiceName : [wstr] 特権サブシステムサービスの名前を指定する null 終端文字列へのポインタ。この情報はセキュリティイベントログレコードに現れる。 ClientToken : [intptr] 操作を要求したクライアントを表すアクセストークンを識別する。このハンドルはクライアントを偽装するスレッドのトークンを開くことで取得する必要がある。トークンは TOKEN_QUERY アクセスで開く必要がある。関数はセキュリティイベントログレコードのクライアント ID を取得するためにこのトークンを使用する。 Privileges : [var] クライアントが使用しようとした特権を含む PRIVILEGE_SET 構造体へのポインタ。特権の名前はセキュリティイベントログレコードに現れる。 AccessGranted : [int] クライアントの特権使用の試みが成功したかどうかを示す。この値が TRUE の場合、セキュリティイベントログレコードは成功を示す。この値が FALSE の場合、セキュリティイベントログレコードは失敗を示す。
(プラグイン / モジュール : advapi32.dll)
セキュリティイベントログに監査メッセージを生成する。(PrivilegedServiceAuditAlarmW) [戻り値] 関数が成功した場合、戻り値は 0 以外である。関数が失敗した場合、戻り値は 0 である。拡張エラー情報を取得するには GetLastError を呼び出す。 [備考] PrivilegedServiceAuditAlarm 関数はクライアントのアクセストークンを確認して特権が保持または有効になっているかどうかを判断しない。通常、最初に PrivilegeCheck 関数を呼び出して特定の特権がアクセストークンで有効かどうかを判断し、次に PrivilegedServiceAuditAlarm を呼び出して結果をログに記録する。PrivilegedServiceAuditAlarm 関数は、呼び出し元プロセスが SE_AUDIT_NAME 特権を有効にしていることを必要とする。この特権のテストは常に呼び出し元プロセスのプライマリトークンに対して実行される。これにより、呼び出し元プロセスは呼び出し中にクライアントを偽装できる。
| プラグイン / モジュール | advapi32.dll |
| バージョン | 1.0 |
| 作成日 | 2026/04/16 |
| 著作者 | IronHSP / CsWin32 bridge |
| URL | https://github.com/inovia/IronHSP |
| 備考 | Win32 API の advapi32.dll 関数群。CsWin32 + win32metadata から自動生成。
hsp3net 専用 (intptr / NSTRUCT / wstr を使用)。 |
| タイプ | 拡張命令 |
| グループ | Win32API |
| 対応環境 |
|
| hs ファイル | hsphelp\win32_advapi32_gen2.hs |