Säkerhetshanteringsfunktioner
Det här avsnittet innehåller avsnitt för följande grupper av funktioner:
- Återanropsfunktioner för bifogade filer
- Attachment Engine Functions
- LSA-principfunktioner
- Managed Service Account Functions
- funktioner för lösenordsfilter
- Säkrare funktioner
Återanropsfunktioner för bifogade filer
Följande supportfunktioner tillhandahålls av säkerhetskonfigurationsverktygets uppsättning och kan användas av bilagemotorer och tilläggs snapin-moduler för att läsa och skriva konfigurationsdata.
| Återanropsfunktion | Beskrivning |
|---|---|
|
PFSCE_FREE_INFO |
Används för att frigöra minne som allokerats av dessa stödfunktioner. |
|
PFSCE_LOG_INFO |
Används för att logga meddelanden till konfigurationsloggfilen eller analysloggfilen. |
|
PFSCE_QUERY_INFO |
Används för att fråga konfigurations- och analysinformationen för en specifik tjänst. |
|
PFSCE_SET_INFO |
Används för att ange konfigurations- och analysinformation för en specifik tjänst. |
Funktioner för bilagemotor
| Funktion | Beskrivning |
|---|---|
|
SceSvcAttachmentAnalyze |
Implementerad av den bifogade motorns DLL. Säkerhetskonfigurationsmotorn anropar den här funktionen när systemet analyseras. |
|
SceSvcAttachmentConfig |
Implementerad av den bifogade motorns DLL. Säkerhetskonfigurationsmotorn anropar den här funktionen när systemet har konfigurerats. |
|
SceSvcAttachmentUpdate |
Implementerad av den bifogade motorns DLL. Säkerhetskonfigurationsmotorn anropar den här funktionen när den tar emot en begäran om konfigurationsuppdatering från snapin-tillägget för bifogade filer. |
LSA-principfunktioner
Följande avsnitt innehåller referensinformation för principfunktionerna lokal säkerhetsmyndighet (LSA).
| Ämne | Beskrivning |
|---|---|
| Principfunktioner |
Informationsfunktioner som används för att öppna det lokala policyobjektet och för att ange eller hämta global principinformation. |
| Kontofunktioner |
Informationsfunktioner som används för att hantera kontobehörigheter och för att skapa och ta bort användarkonton. |
| Betrodda domänfunktioner |
Information om funktioner som används för att skapa och ta bort betrodda domänrelationer och för att ange och hämta information om dessa betrodda domäner. |
| Privata datafunktioner |
Använd inte de privata LSA-datafunktionerna. Använd i stället funktionerna CryptProtectData och CryptUnprotectData. |
| Diverse funktioner |
Informationsfunktioner beskrivs inte någon annanstans. |
Principfunktioner
Följande funktioner räknar upp användarkonton och betrodda domäner, tar emot principändringsmeddelanden och uppslagskontonamn och SID:er.
| Funktion | Beskrivning |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
Räknar upp alla konton som har en angiven användarbehörighet. |
|
LsaEnumerateTrustedDomainsEx |
Räknar upp betrodda domäner. |
|
LsaLookupNames |
Mappar de angivna namnen till deras SID:er. Returnerar SID som ett RID-/domän-SID-par. |
|
LsaLookupNames2 |
Mappar de angivna namnen till deras SID:er. Returnerar SID som ett enda element. |
|
LsaLookupPrivilegeValue |
Hämtar den lokalt unika identifieraren (LUID) som används av Local Security Authority (LSA) för att representera det angivna behörighetsnamnet. |
|
LsaLookupSids |
Mappar de angivna kontonamnen till deras SID:er. |
|
LsaRegisterPolicyChangeNotification |
Registrerar ett händelseobjekt för att ta emot meddelanden när den lokala principinformationen ändras. |
|
LsaUnregisterPolicyChangeNotification |
Avregistrerar ett händelseobjekt som tar emot principändringsmeddelanden. |
Kontofunktioner
Följande funktioner lägger till, räknar upp och tar bort behörigheter för ett konto.
| Funktion | Beskrivning |
|---|---|
|
LsaAddAccountRights |
Lägg till behörigheter till ett konto. Om kontot inte redan finns skapas det. |
|
LsaEnumerateAccountRights |
Räkna upp de behörigheter som beviljats ett konto. |
|
LsaRemoveAccountRights |
Ta bort behörigheter från ett konto. När alla behörigheter tas bort tas kontot bort. |
Betrodda domänfunktioner
Följande funktioner skapar, räknar upp och tar bort betrodda domäner och anger och hämtar information om betrodd domän.
| Funktion | Beskrivning |
|---|---|
|
LsaCreateTrustedDomainEx |
Skapar ett nytt TrustedDomain- objekt. |
|
LsaDeleteTrustedDomain |
Tar bort ett TrustedDomain- objekt. |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
Räknar upp de domäner som för närvarande är betrodda av det lokala systemet. |
|
LsaOpenTrustedDomainByName |
Öppnar ett handtag till ett TrustedDomain- objekt. |
|
LsaQueryTrustedDomainInfo |
Hämtar information om en betrodd domän. Domänen anges av SID. |
|
LsaQueryTrustedDomainInfoByName |
Hämtar information om en betrodd domän. Domänen anges med namn. |
|
LsaSetTrustedDomainInfoByName |
Anger information för en betrodd domän. Domänen anges med namn. |
|
LsaSetTrustedDomainInformation |
Anger information för en betrodd domän. Domänen anges av SID. |
Privata datafunktioner
Använd inte de privata LSA-datafunktionerna. Använd i stället funktionerna CryptProtectData och CryptUnprotectData.
| Funktion | Beskrivning |
|---|---|
|
LsaRetrievePrivateData |
Hämtar och dekrypterar en sträng. |
|
LsaStorePrivateData |
Krypterar och lagrar en sträng. |
Diverse funktioner
LSA Policy-API:et har följande tre funktioner som inte passar in i någon av de andra LSA Policy-funktionskategorierna.
| Funktion | Beskrivning |
|---|---|
|
LsaClose |
Stänger en referens till ett principobjekt eller ett TrustedDomain- objekt. |
|
LsaFreeMemory |
Frigör en buffert som allokeras av en LSA-funktion. |
|
LsaNtStatusToWinError |
Konverterar ett NTSTATUS- värde till en Windows-felkod. |
Hanterade tjänstkontofunktioner
Följande funktioner används för att skapa, räkna upp, hitta och ta bort hanterade tjänstkonton.
| Funktion | Beskrivning |
|---|---|
|
NetAddServiceAccount |
Skapar ett hanterat tjänstkonto. |
|
NetEnumerateServiceAccounts |
Räknar upp serverkontona på den angivna servern. |
|
NetIsServiceAccount |
Testar om det angivna tjänstkontot finns i Netlogon-arkivet på den angivna servern. |
|
NetRemoveServiceAccount |
Tar bort det angivna tjänstkontot från databasen Active Directory. |
Funktioner för lösenordsfilter
Följande lösenordsfilter funktioner implementeras av anpassade DLL:er för lösenordsfilter för att tillhandahålla lösenordsfiltrering och meddelande om lösenordsändring.
| Funktion | Beskrivning |
|---|---|
|
InitializeChangeNotify |
Anger att en DLL för lösenordsfilter initieras. |
|
PasswordChangeNotify |
Anger att ett lösenord har ändrats. |
|
PasswordFilter |
Validerar ett nytt lösenord baserat på lösenordsprincip. |
Säkrare funktioner
Följande säkrare funktioner kan användas för att kontrollera den säkrare nivån för körbara filer och för att logga händelser.
| Funktion | Beskrivning |
|---|---|
| SaferCloseLevel | Stänger en SAFER_LEVEL_HANDLE som öppnas med hjälp av funktionen SaferIdentifyLevel eller funktionen SaferCreateLevel. |
| SaferComputeTokenFromLevel | Begränsar en token med begränsningar som anges av en SAFER_LEVEL_HANDLE. |
| SaferCreateLevel | Öppnar en SAFER_LEVEL_HANDLE. |
| SaferGetLevelInformation | Hämtar information om en principnivå. |
| SaferGetPolicyInformation | Hämtar information om en princip. |
| SaferIdentifyLevel | Hämtar information om en nivå. |
| SaferiIsExecutableFileType | Avgör om en angiven fil är en körbar fil. |
| SaferRecordEventLogEntry | Skickar ett meddelande till händelseloggen. |
| SaferSetLevelInformation | Anger information om en principnivå. |
| SaferSetPolicyInformation | Anger de globala principkontrollerna. |