§ 7.2. Создание структуры security_attributes
154
На первый взгляд, в структуре SECURITY_ATTRIBUTES нет ничего сложного:
typedef struct _SECURITY_ATTRIBUTES
{
}
DWORD nLength;
LPVOID lpSecurityDescriptor;
BOOL bInheritHandle;
// размер структуры SECURITY_ATTRIBUTES;
// дескриптор безопасности
// будет ли дескриптор наследоваться
// дочерним процессом.
SECURITY_ATTRIBUTES; *LPSECURITY_ATTRIBUTES;
Заполнить поле nLength очень просто (и очень важно!) [1]. Установить флаг bInhe-
ritHandle также несложно: он имеет значение типа Boolean. А вот второе поле, которое
представляет собой указатель структуры SECURITY_DESCRIPTOR, мы рассмотрим бо-
лее подробно. Если вы не хотите использовать механизмы безопасности,
lpSecurltyDescriptor можно присвоить значение NULL. Если вы намерены защитить объ-
ект от несанкционированного доступа, необходимо создать структуру SECURI-
TY_DESCRIPTOR, соответствующую этому объекту, и внести указатель на нее в струк-
туру SECURITY_ATTRIBUTES.
Структура SECURITY_DESCRIPTOR (SD) хранит в себе информацию, связанную
с защитой некоторого объекта от несанкционированного доступа. В этой структуре со-
держится информация о том, какие пользователи обладают правом доступа к объекту и
какие действия эти пользователи могут выполнить в отношении этого объекта. Следует
отметить, что внутреннее строение структуры SECURITY_DESCRIPTOR не документи-
ровано. Указатель на структуру SECURITY_DESCRIPTOR в составе структуры SECU-
RITY_ATTRIBUTES является указателем на тип void. Предполагается, что если вы знае-
те о строении структуры SECURITY_DESCRIPTOR, значит, теоретически вы можете
обойти систему безопасности.
Дескриптор безопасности объекта хранит в себе следующую информацию:
• SID (Security ID) владельца объекта;
• SID основной группы владельца объекта;
• дискреционный список управления доступом (Discretionary Access Control List,
DACL);
• системный список управления доступом (System Access Control List, SACL);
• управляющая информация (например, сведения о том, как списки ACL передают
информацию дочерним дескрипторам безопасности).
Идентификатор безопасности (SID) представляет собой структуру переменной
длины, которая однозначно идентифицирует пользователя или группу пользователей.
Внутри идентификатора безопасности (среди прочей информации) содержится 48-
разрядный уникальный код аутентифицированного лица (пользователя или группы), со-
стоящий из значения уровня доступа, кода основного лица и кода вторичного лица.
Список DACL определяет, кто обладает (и кто не обладает) правом доступа к объ-
екту. Список SACL определяет, информация о каких действиях вносится в файл журна-
ла.
Но как можно создать дескриптор безопасности, если вы не знаете его структуры?
Для этой цели следует использовать системный вызов InitializeSecurityDescriptor. Этой
функции следует передать указатель на дескриптор безопасности SECURI-
TY_DESCRIPTOR и значение DWORD, которое содержит номер ревизии структуры
SECURITY_DESCRIPTOR. В качестве второго аргумента следует использовать значе-
ние SECURITY_DESCRIPTOR_REVISION.
155
Функция InitializeSecurityDescriptor инициализирует указанный вами дескриптор
таким образом, что в нем отсутствует DAСL, SACL, владелец и основная группа вла-
дельца, а все управляющие флаги установлены в значение FALSE. При этом дескриптор
имеет абсолютный формат. Что это значит? Дескриптор в абсолютном (absolute) форма-
те содержит лишь указатели на информацию, связанную с защитой объекта. В отличие
от этого дескриптор в относительном (self-relative) формате включает в себя всю необ-
ходимую информацию, которая располагается в памяти последовательно поле за полем.
Таким образом, абсолютный дескриптор нельзя записать на диск (так как при после-
дующем чтении его с диска все указатели потеряют смысл), а относительный дескрип-
тор - можно.
Windows позволяет преобразовывать абсолютный дескриптор в относительную
форму и обратно. Обычно это требуется лишь в случае, если вы записываете дескриптор
на диск и считываете дескриптор с диска. Системные вызовы, требующие передачи ука-
зателя на дескриптор безопасности, работают только с дескрипторами в абсолютном
формате.
Преобразование осуществляется при помощи функций MakeSelfRelativeSD и Ma-
keAbsoluteSD. Преобразовать абсолютную форму в относительную несложно. Однако
обратное преобразование (из относительной в абсолютную) обычно выполняется в не-
сколько этапов. Дело в том, что при этом необходимо подготовить несколько буферов в
памяти и передать указатели на них в функцию MakeAbsoluteSD.
Для работы с идентификаторами SID используются две основные функции: Looku-
pAccountName и LookupAccountSid. Эти функции позволяют преобразовать идентифи-
катор SID в имя учетной записи, и наоборот, имя учетной записи в идентификатор SID.
Если программа работает в сетевой среде, она может обратиться к этим функциям
с удаленного компьютера. Эта возможность может пригодиться, например, при разра-
ботке сервера, который обслуживает удаленных клиентов. При обращении к любой из
этих функций в качестве имени компьютера можно указать NULL, и тогда вы сможете
получить интересующие вас сведения относительно локальных пользователей.
Помимо имени или идентификатора SID каждая из этих функций также сообщает
значение перечисляемого типа, указывающее, какому классу объектов соответствует
этот SID (табл. 7.2). Переменная типа SID_NAME_USE содержит класс идентификатора
SID, с которым вы имеете дело.
Таблица 7.2
Имя
SidTypeUser
SidTypeGroup
SidTypeDomain
SidTypeAlias
Обычный пользователь
Обычная группа
Доменное имя
Псевдоним
Описание
SidTypeWellKnownGroup Хорошо известная группа
SidTypeDeletedAccount
SidTypeUnknown
Старая учетная запись
Неизвестный объект
Чтобы получить имя текущего пользователя, следует использовать функцию GetU-
serName. Получив имя, вы можете определить соответствующий SID при помощи функ-
ции LookupAccountSid.
Не всем идентификаторам SID соответствуют имена. Например, в процессе под-
ключения к системе пользователю присваивается произвольный SID, идентифицирую-
щий текущий рабочий сеанс. Этот SID не обладает соответствующим ему именем. К
функциям, которые могут оказаться полезными при работе с SID, можно отнести: Ano-
cateAndInitializeSid, InitializeSid, FreeSid, CopySid, IsValidSid, GetLengthSid и EqualSid.
Элемент управления доступом (Access Control Element, АСЕ) - это запись, которая
указывает на то, что некоторый пользователь (или группа) обладает определенным пра-
156
вом. Записи АСЕ бывают трех основных разновидностей; ACCESS_ AL-
LOWED_ACE_TYPE, ACCESS_DENIED_ACE_TYPE и SYSTEM_AUDIT_ACE_TYPE.
Запись АСЕ первого типа наделяет пользователя (или группу) некоторым правом. За-
пись второго типа отменяет это право в отношении пользователя (или группы). Запись
третьего типа обозначает необходимость осуществления аудита при пользовании пра-
вом.
Список управления доступом (Access Control List, ACL) - это набор записей АСЕ.
Дискреционный список DACL содержит записи типа ACCESS_ALLOWED_ACE_TYPE
и ACCESS_DENIED_ACE_TYPE, а системный список SACL содержит записи типа
SYSTEM AUDIT_ACE_TYPE.
Каждая запись АСЕ, определяющая уровень доступа к объекту, обладает 32-
битной маской ACCESS_MASK. Эта маска является набором бит, которые определяют,
какие права предоставляет или отменяет данная запись АСЕ. Значение каждого бита оп-
ределяется объектом, по отношению к которому применяется данная АСЕ. Например,
набор прав, которые можно назначить в отношении семафора, отличается от набора
прав, которые можно назначить в отношении файла. Все же существуют четыре права,
которые можно назначить в отношении абсолютно любого защищаемого объекта, это:
GENERIC_READ (обобщенное чтение), GENERIC_WRITE (обобщенная запись), GE-
NERIC_EXECUTE (обобщенное исполнение) и GENERIC_ALL (все права). Этим четы-
рем правам всегда соответствуют одни и те же биты в маске ACCESS_MASK любой за-
писи АСЕ.
Каждый системный объект или файл обладает индивидуальным списком ACL.
Чтобы обеспечить защиту данных, о существовании которых система не имеет пред-
ставления, необходимо самостоятельно сформировать собственный список ACL и со-
хранить его специальным образом.
Система безопасности может использоваться для защиты объектов нескольких
разных типов. Для доступа к дескриптору безопасности каждого из этих объектов следу-
ет использовать разные функции (табл. 7.3).
Таблица 7.3
Тип объекта
Файлы (Files)
Пользователь (User)
Ядро ОС (Kernel)
Реестр (Registry)
Примеры
Файлы NTFS, именованные
каналы
Окна, меню
Дескрипторы процессов и
потоков, объекты отобра-
жения в память, и т.д.
КлючиRegGetKeySecurity,
Функции
GetSecurity, SetSecurity
GetUserObjectSecurity,
SetUserObjectSecurity
GetKernelObjectSecurity,
SetKernelObjectSecurity
RegSetKeySecurity
Службы (Services)
Любая службаQueryServiceObjectSecurity,
SetServiceObjectSecurity
Частный (Private)
Определяемые пользовате-
лем объекты
CreatePrivateObjectSecurity,
GetPrivateObjectSecurity,
SetPrivateObjectSecurity,
DestroyPrivateObjectSecurity
Чаще всего, когда говорят о защите данных, имеют в виду файлы. На самом деле в
некоторых ситуациях может потребоваться ограничить доступ к объектам других типов.
В некоторых ситуациях может возникнуть необходимость в создании ваших собствен-
ных объектов, доступ к которым необходимо контролировать. Windows может не знать о
существовании этих объектов, однако это не значит, что хранящаяся в них информация
не нуждается в защите.
157
Представьте, например, что вы разрабатываете базу данных, содержащую инфор-
мацию о заработках сотрудников. Для защиты этой информации можно использовать
ваши собственные списки ACL; содержащие сведения о том, кто имеет доступ к данным
о зарплате. Если база данных получает запрос от неавторизированного источника, сис-
тема может внести сообщение об этом в журнал аудита, полностью запретить доступ к
базе данных или передать обратившемуся клиенту все запрашиваемые им данные за ис-
ключением секретной информации, вместо которой будет передан символ звездочки.
Рассмотрим принцип построения списков ACL [1]. Список ACL - это область па-
мяти, содержащая заголовок ACL и некоторое количество (или ни одной) записей АСЕ.
В свою очередь, запись АСЕ включает в себя ACE_HEADER и одну из структур:
ACCESS_ALLOWED_ACE
(соответствует
разрешающей
записи)
или
ACCESS_DENIED_ACE (соответствует запрещающей записи). При заполнении списков
АСЕ в Windows NT 4.0 (и в более ранних версиях) следовало следить за тем, чтобы за-
писи типа ACCESS_DENIED_ACE располагались в списке раньше, чем все остальные
записи. Дело в том, что запрещающие записи имеют больший вес, чем разрешающие за-
писи. Если в списке ACL одна запись разрешает некоторому пользователю доступ к
объекту, а другая запись запрещает этому же пользователю доступ к этому же объекту,
то в силу вступает именно запрещающая запись. В этом случае разрешающая запись иг-
норируется, и пользователь теряет право на доступ к объекту. В Windows NT 4.0 это ус-
ловие выполнялось только в случае, если запрещающие записи располагались в начале
списка ACL.
Одной из проблем, возникающих при работе с ACL, является то обстоятельство,
что для того, чтобы сформировать список ACL, вы должны вычислить его точный раз-
мер. Список ACL должен обладать размером, достаточным для того, чтобы вместить в
себя все АСЕ. Однако разные записи АСЕ могут включать в себя разное количество
байт. Таким образом, задача вычисления размера ACL может оказаться непростой.
Размер записи АСЕ зависит от ее типа и длины SID, который в ней содержится.
Для записей АСЕ, разрешающих доступ, длина записи составляет:
L= sizeof(ACCESS_ALLOWED_ACE) - sizeof(ACCESS_ALLOWED_ACE.SidStart) +
GetLengthSid((PSID)ace.SidStart);
Как видно, к длине заголовка (за вычетом длины первой части SID) добавляется
длина SID.
Таким образом, размер ACL равняется размеру структуры ACL плюс сумма разме-
ров всех АСЕ, входящих в список. Зачастую возникает соблазн не тратить время на рас-
четы, а просто зарезервировать достаточно большой буфер в памяти и предположить,
что выделенного места должно хватить для размещения всего списка. В общем случае
такой подход не запрещается - ACL может обладать размером, большим, чем размер,
достаточный для хранения всех его записей.
Когда вы получили достаточно объемный буфер, вы должны инициализировать
ACL при помощи вызова InitializeAcl. После этого можно добавлять в список записи
АСЕ. Для этого служат функции AddAccessDeniedAce и AddAccessAllowedAce. Каждая
из этих функций принимает в качестве аргументов указатель на буфер ACL, константу
ACL_REVISION, права, которые вы намерены предоставить или отменить, а также ука-
затель на SID. Этот SID идентифицирует пользователя или группу, которым соответст-
вует АСЕ. Получить SID можно при помощи вызова LookupAccountName.
Помните, что записи АСЕ, запрещающие доступ, следует добавлять в список в
первую очередь, в противном случае Windows NT 4.0 и более ранние версии NT будут
некорректно обрабатывать взаимоисключающие АСЕ. Чтобы пояснить ситуацию, рас-
смотрим следующий простой пример. Допустим, я являюсь членом группы ТЕСН, а
158
также членом группы USERS. Допустим, в списке ACL содержится запись, запрещаю-
щая для группы USERS доступ к файлу. Другая запись разрешает доступ к файлу для
группы ТЕСН. В этой ситуации я не должен иметь возможности прочитать файл, так как
я принадлежу к группе, для которой доступ к файлу явно запрещен. Если вы не размес-
тите все АСЕ, запрещающие доступ, в самом начале списка ACL, в некоторых, версиях
NT такая комбинация взаимоисключающих АСЕ будет обработана некорректно.
Когда ACL сформирован, его необходимо установить в рамках структуры SECU-
RITY_DESCRIPTOR. Для этого служит вызов SetSecurityDescriptorDacl. Затем указатели
на дескриптор безопасности, содержащий ACL, необходимо разместить в структуре SE-
CURITY_ATTRIBUTES, которую, в свою очередь, можно передать любой API функции,
элементом которой является данная структура.
§ 7.3. API-функции для обеспечения безопасности Windows
В таблицах 7.4-7.15 приведено описание API-функций безопасности. В таблицах
функции разделены на следующие категории [4]:
• Таблица 7.4 - функции для операций с маркерами доступа;
• Таблица 7.5 - функции, используемые в процессе передачи полномочий клиента;
• Таблица 7.6 - функции для операций с дескрипторами безопасности;
• Таблица 7.7 - функции для операций с идентификаторами безопасности;
• Таблица 7.8 - функции для операций с записями в списках управления доступом;
• Таблица 7.9 - функции для операций со списками управления доступом;
• Таблица 7.10 - функции для проверки прав доступа;
• Таблица 7.11 - функции для операций с привилегиями;
• Таблица 7.12 - функции для операций с окнами-станциями;
• Таблица 7.13 - функции для операций с Local Service Authority;
• Таблица 7.14 - функции для получения информации, связанной с безопасностью;
• Таблица 7.15 - функции аудита.
Таблица 7.4
Функция
AdjustTokenGroups
AdjustTokenPrivileg-
es
DuplicateToken
DuplicateTokenEx
Описание
Изменяет группу, которой принадлежит маркер доступа
Изменяет привилегии для маркера доступа
Создает новый маркер доступа, идентичный заданному
Аналогична предыдущей, но может создавать первичный маркер
доступа, используемый в функции GreateProcessAsUser
GetTokenInformation Возвращает данные о пользователе, группе, привилегиях, а также
другую информацию, содержащуюся в маркере доступа
SetThreadToken
Присваивает заданному потоку маркер передачи полномочий
SetTokenInformation Изменяет данные о пользователе, группе, привилегиях, а также
другую информацию, содержащуюся в маркере доступа
OpenProcessToken
OpenThreadToken
Функция
Читает маркер доступа для заданного процесса
Читает маркер доступа для заданного потока
Описание
Таблица 7.5
CreateProcessAsUser
DdeImpersonateClient
Идентична функции CreateProcess, но создает процесс с
заданным маркером доступа
Позволяет DDE-серверу принять полномочия DDE-
159
ImpersonateLoggedOnUser
клиента для доступа к ресурсам с использованием клиент-
ских атрибутов безопасности
Позволяет вызываемому потоку принять полномочия за-
данного пользователя (взять его маркер доступа)
ImpersonateNamedPipeClient Позволяет серверной части именованного канала принять
полномочия клиентской части
ImpersonateSelf
LogonUser
RevertToSelf
Функция
MakeAbsoluteSD
MakeSelfRelativeSD
InitializeSecurityDescriptor
IsValidSecurityDescriptor
GetSecurityDescriptorCon-
trol
Возвращает маркер доступа, соответствующий вызываю-
щему процессу (часто используется для изменения досту-
па на уровне потока)
Позволяет серверному приложению запросить маркер
доступа заданного пользователя, чтобы зарегистрировать-
ся в системе от его имени
Завершает процесс передачи полномочий клиента
Таблица 7.6
Описание
Создает дескриптор безопасности в абсолютном формате
по образцу дескриптора в относительном формате
Создает дескриптор безопасности в относительном фор-
мате по образцу дескриптора в абсолютном формате
Инициализирует новый дескриптор безопасности; при
этом ему не присваиваются права
Проверяет правильность дескриптора безопасности
Возвращает информацию об уровне доступа для дескрип-
тора безопасности
GetSecurityDescriptorLength Возвращает размер заданного дескриптора безопасности в
байтах
GetSecurityDescriptorDacl
Возвращает указатель на DACL для заданного дескрипто-
ра безопасности
GetSecurityDescriptorGroup Возвращает указатель на идентификатор безопасности ос-
новной группы для заданного дескриптора безопасности
GetSecurityDescriptorOwner Возвращает указатель на идентификатор безопасности
владельца для заданного дескриптора безопасности
GetSecurityDescriptorSacl
SetSecurityDescriptorDacl
Возвращает указатель на SACL для заданного дескрипто-
ра безопасности
Обновляет информацию о DACL для заданного дескрип-
тора безопасности
SetSecurityDescriptorGroup Обновляет идентификатор безопасности группы для за-
данного дескриптора безопасности
SetSecurityDescriptorOwner Обновляет идентификатор безопасности владельца для
заданного дескриптора безопасности
SetSecurityDescriptorSad
Функция
AllocateAndInitializeSid
AllocateLocallyUniqueId
InitializeSid
Обновляет информацию о SACL для заданного дескрип-
тора безопасности
Таблица 7.7
Описание
Выделяет и инициализирует идентификатор безопасности
для 1-8 вторичных лиц
Выделяет локальный уникальный идентификатор
Инициализирует структуру идентификатора безопасности
160
CopySid
EqualPrefixSid
EqualSid
FreeSid
GetSidIdentifierAuthority
GetSidLengthRequired
GetSidSubAuthority
для заданного количества вторичных лиц
Записывает в буфер копию идентификатора безопасности
Выполняет логическую (True/False) проверку равенства
префиксов двух идентификаторов безопасности
Выполняет логическую (True/False) проверку равенства
двух идентификаторов безопасности
Освобождает идентификатор безопасности, выделенный
функцией AllocateAndInitializeSid
Возвращает указатель на идентификатор безопасности ау-
тентифицированного пользователя или группы (в виде
структуры SID_IDENTIFIER_AUTHORITY)
Возвращает размер идентификатора в байтах, который не-
обходим для хранения информации о заданном количестве
вторичных лиц
Возвращает указатель на n-е вторичное лицо заданного
идентификатора безопасности
GetSidSubAuthorityCount Возвращает количество вторичных лиц, определенных в
идентификаторе безопасности
GetLengthSid
IsValidSid
LookupAccountSid
LookupAccountName
Функция
AddAce
Возвращает размер заданного идентификатора безопасно-
сти в байтах
Проверяет правильность заданного идентификатора безо-
пасности
Возвращает учетное имя и имя первого домена, найденного
для заданного идентификатора безопасности
Возвращает SID, соответствующий заданному учетному
имени, и домен, в котором найдено имя
Таблица 7.8
Описание
Добавляет одну или несколько записей (АСЕ) в указанную по-
зицию заданного списка управления доступом (ACL)
AddAccessAllowedAce Добавляет в ACL запись с разрешением доступа, обеспечивая
таким образом доступ к указанному идентификатору безопасно-
сти
AddAccessDeniedAce Добавляет в ACL запись, в которой запрещен доступ; таким об-
разом предотвращается доступ к указанному идентификатору
безопасности
AddAuditAccessAce
DeleteAce
FindFirstFreeAce
GetAce
Функция
InitializeAcl
Добавляет запись в SACL
Удаляет n-ю запись из заданного ACL
Возвращает указатель первой свободной позиции в заданном
ACL
Возвращает указатель на n-ю запись в заданном ACL
Таблица 7.9
Описание
Создает новую структуру ACL
GetAclInformation Возвращает информацию о заданном ACL (размер, значение счет-
чика записей и др.)
IsValidAcl
Проверяет правильность ACL
161
SetAclInformation
Функция
Задает информацию об ACL
Описание
Таблица 7.10
AccessCheck
Используется серверным приложением для проверки прав
доступа клиента к объекту
AccessCheckAndAuditAlarm Выполняет функцию AccessCheck и генерирует соответст-
вующие аудиторские сообщения
AreAllAccessesGranted
AreAnyAccessesGranted
PrivilegeCheck
PrivilegedServiceAuditA-
larm
MapGenericMask
Функция
MapGenericMask
PrivilegeCheck
AllocateSocallyUniqueId
LookupPrivilegeDisplay-
Name
LookupPrivilegeName
LookupPrivilegeValue
Проверяет, были ли предоставлены заданному пользовате-
лю все необходимые права доступа
Проверяет, было ли предоставлено заданному пользовате-
лю хотя бы одно из необходимых прав доступа
Проверяет, имеет ли заданный маркер доступа необходи-
мые привилегии
Выполняет функцию PrivilegeCheck и генерирует соответ-
ствующие аудиторские сообщения
Накладывает маску общих прав доступа на специальные
или стандартные права
Таблица 7.11
Описание
Накладывает заданную маску общих прав доступа на спе-
циальные или стандартные права
Проверяет, имеет ли заданный маркер доступа указанные
привилегии
Выделяет локальный уникальный идентификатор
Читает строку с названием указанной привилегии
Читает имя привилегии, связанное с заданным локальным
уникальным идентификатором (LUID)
Возвращает LUID, связанный с указанной привилегией в
данной системе
ObjectPrivilegeAuditAlarm Генерирует аудиторские сообщения, когда указанный
пользователь (маркер доступа) пытается выполнить при-
вилегированные операции с заданным объектом
PrivilegedServiceAuditAlarm Генерирует аудиторские сообщения, когда указанный
пользователь (маркер доступа) пытается выполнить при-
вилегированные операции
Таблица 7.12
Функция
Описание
GetProcessWindowStation Возвращает дескриптор окна-станции, связанного с вызывае-
мым процессом
SetProcessWindowStation Назначает заданное окно-станцию вызываемому процессу
Таблица 7.13
InitLsaString
Функция
Описание
Создает структуру LSA_UNICODE_STRING ДЛЯ
имени заданной привилегии
LsaOpenPolicy
Задает определенную политику безопасности на
162
LsaLookupNames
LsaRemoveAccountRights
LsaAddAccountRights
LsaClose
LsaEnumerateAccountRights
указанном компьютере
Возвращает учетное имя (и идентификатор безо-
пасности) для заданного маркера доступа
Отбирает указанные привилегии у заданного
пользователя (или у нескольких пользователей)
Предоставляет указанные привилегии заданному
пользователю (или нескольким пользователям)
Отменяет определенную политику безопасности
Создает список прав доступа и привилегий, кото-
рые предоставлены заданной учетной записи
LsaEnumerateAccountsWithUserRight Создает список всех учетных записей данной сис-
темы, которым предоставлена указанная привиле-
гия
Таблица 7.14
Функция
GetFileSecurity
GetKernelObjectSecurity
GetPrivateObjectSecurity
GetUserObjectSecurity
SetFileSecurity
SetKernelObjectSecurity
SetPrivateObjectSecurity
SetUserObjectSecurity
Описание
Получает дескриптор безопасности указанного файла или
каталога
Получает дескриптор безопасности указанного объекта
ядра
Получает дескриптор безопасности указанного приватного
объекта
Получает дескриптор безопасности указанного пользова-
тельского объекта
Присваивает файлу или каталогу указанный дескриптор
безопасности
Присваивает объекту ядра указанный дескриптор безопас-
ности
Присваивает приватному объекту указанный дескриптор
безопасности
Присваивает пользовательскому объекту указанный деск-
риптор безопасности
CreatePrivateObjectSecurity Выделяет и инициализирует дескриптор безопасности в
относительном формате; этот дескриптор будет назначен
новому приватному объекту
DestroyPrivateObjectSecuri-
ty
Функция
1
ObjectOpenAuditAlarm
1
ObjectCloseAuditAlarm
ObjectDelateAuditAlarm
Удаляет дескриптор безопасности заданного приватного
объекта
Таблица 7.15
Описание
2
Генерирует аудиторские сообщения, когда пользователь
предпринимает попытку получить доступ к существую-
щему объекту или создать новый объект
Окончание табл. 7.15
2
Генерирует аудиторские сообщения при закрытии деск-
риптора объекта
Генерирует аудиторские сообщения при удалении деск-
риптора объекта
163
ObjectPrivilegeAuditAlarm Генерирует аудиторские сообщения, когда указанный
пользователь (маркер доступа) пытается выполнить при-
вилегированные операции с заданным объектом
PrivilegedServiceAuditAlarm Генерирует аудиторские сообщения, когда указанный
пользователь (маркер доступа) пытается выполнить при-
вилегированные операции
AccessCheckAndAuditAlarm Выполняет функцию AccessCheck и генерирует соответст-
вующие аудиторские сообщения
164