安全管理功能
本节包含以下函数组的主题:
附件回调函数
以下支持函数由安全配置工具集提供,附件引擎和扩展管理单元可用于读取和写入配置数据。
| 回调函数 | 描述 |
|---|---|
|
PFSCE_FREE_INFO |
用于释放这些支持函数分配的内存。 |
|
PFSCE_LOG_INFO |
用于将消息记录到配置文件或分析日志文件。 |
|
PFSCE_QUERY_INFO |
用于查询特定服务的配置和分析信息。 |
|
PFSCE_SET_INFO |
用于设置特定服务的配置和分析信息。 |
附件引擎函数
| 功能 | 描述 |
|---|---|
|
SceSvcAttachmentAnalyze |
由附件引擎 DLL 实现。 分析系统时,安全配置引擎会调用此函数。 |
|
SceSvcAttachmentConfig |
由附件引擎 DLL 实现。 配置系统时,安全配置引擎会调用此函数。 |
|
SceSvcAttachmentUpdate |
由附件引擎 DLL 实现。 安全配置引擎从附件管理单元扩展收到配置更新请求时调用此函数。 |
LSA 策略函数
以下主题提供有关 本地安全机构(LSA)策略函数的参考信息。
| 主题 | 描述 |
|---|---|
| 策略函数 |
用于打开本地 策略 对象以及设置或检索全局策略信息的详细信息函数。 |
| 帐户函数 |
用于管理帐户权限和创建和删除用户帐户的详细信息函数。 |
| 受信任的域函数 |
详细说明用于创建和删除受信任域关系的函数,以及设置和检索有关这些受信任域的信息。 |
| 专用数据函数 |
请勿使用 LSA 专用数据函数。 请改用 CryptProtectData 和 CryptUnprotectData 函数。 |
| 杂项函数 |
未在其他地方描述的详细信息函数。 |
策略函数
以下函数枚举用户帐户和受信任的域、接收策略更改通知以及查找帐户名称和 SID。
| 功能 | 描述 |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
枚举具有指定用户权限的所有帐户。 |
|
LsaEnumerateTrustedDomainsEx |
枚举受信任的域。 |
|
LsaLookupNames |
将指定名称映射到其 SID。 以 RID/域 SID 对的形式返回 SID。 |
|
LsaLookupNames2 |
将指定名称映射到其 SID。 以单个元素的形式返回 SID。 |
|
LsaLookupPrivilegeValue |
检索由 本地安全机构(LSA)用来表示指定特权名称的本地唯一标识符(LUID)。 |
|
LsaLookupSids |
将指定的帐户名称映射到其 SID。 |
|
LsaRegisterPolicyChangeNotification |
注册事件对象,以在本地策略信息更改时接收通知。 |
|
LsaUnregisterPolicyChangeNotification |
取消注册正在接收策略更改通知的事件对象。 |
帐户函数
以下函数添加、枚举和删除帐户的权限。
| 功能 | 描述 |
|---|---|
|
LsaAddAccountRights |
向帐户添加权限。 如果该帐户尚不存在,则会创建该帐户。 |
|
LsaEnumerateAccountRights |
枚举授予帐户的权限。 |
|
LsaRemoveAccountRights |
从帐户中删除权限。 删除所有权限后,将删除该帐户。 |
受信任的域函数
以下函数创建、枚举和删除受信任的域,并设置和检索受信任的域信息。
| 功能 | 描述 |
|---|---|
|
LsaCreateTrustedDomainEx |
创建新的 trustedDomain对象。 |
|
LsaDeleteTrustedDomain |
删除 TrustedDomain 对象。 |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
枚举本地系统当前信任的域。 |
|
LsaOpenTrustedDomainByName |
打开 TrustedDomain 对象的句柄。 |
|
LsaQueryTrustedDomainInfo |
检索有关受信任域的信息。 域由 SID 指定。 |
|
LsaQueryTrustedDomainInfoByName |
检索有关受信任域的信息。 域按名称指定。 |
|
LsaSetTrustedDomainInfoByName |
设置受信任域的信息。 域按名称指定。 |
|
LsaSetTrustedDomainInformation |
设置受信任域的信息。 域由 SID 指定。 |
专用数据函数
请勿使用 LSA 专用数据函数。 请改用 CryptProtectData 和 CryptUnprotectData 函数。
| 功能 | 描述 |
|---|---|
|
LsaRetrievePrivateData |
检索和解密字符串。 |
|
LsaStorePrivateData |
加密和存储字符串。 |
杂项函数
LSA 策略 API 具有以下三个不适合其他 LSA 策略函数类别的函数。
| 功能 | 描述 |
|---|---|
|
LsaClose |
关闭 策略 对象或 TrustedDomain 对象的句柄。 |
|
LsaFreeMemory |
释放 LSA 函数分配的缓冲区。 |
|
LsaNtStatusToWinError |
将 NTSTATUS 值转换为 Windows 错误代码。 |
托管服务帐户函数
以下函数用于创建、枚举、查找和删除托管服务帐户。
| 功能 | 描述 |
|---|---|
|
NetAddServiceAccount |
创建托管服务帐户。 |
|
NetEnumerateServiceAccounts |
枚举指定服务器上的服务器帐户。 |
|
NetIsServiceAccount |
测试指定服务器上的 Netlogon 存储中是否存在指定的服务帐户。 |
|
NetRemoveServiceAccount |
从 Active Directory 数据库中删除指定的服务帐户。 |
密码筛选器函数
以下 密码筛选器 函数由自定义密码筛选器 DLL 实现,以提供密码筛选和密码更改通知。
| 功能 | 描述 |
|---|---|
|
InitializeChangeNotify |
指示初始化密码筛选器 DLL。 |
|
PasswordChangeNotify |
指示密码已更改。 |
|
PasswordFilter |
根据密码策略验证新密码。 |
更安全的函数
以下更安全的函数可用于检查任何可执行文件的安全级别和记录事件。
| 功能 | 描述 |
|---|---|
| SaferCloseLevel | 使用 SaferIdentifyLevel 函数或 SaferCreateLevel 函数关闭打开的SAFER_LEVEL_HANDLE。 |
| SaferComputeTokenFromLevel | 使用SAFER_LEVEL_HANDLE指定的限制来限制令牌。 |
| SaferCreateLevel | 打开SAFER_LEVEL_HANDLE。 |
| SaferGetLevelInformation | 检索有关策略级别的信息。 |
| SaferGetPolicyInformation | 检索有关策略的信息。 |
| SaferIdentifyLevel | 检索有关级别的信息。 |
| SaferiIsExecutableFileType | 确定指定的文件是否为可执行文件。 |
| SaferRecordEventLogEntry | 将消息发送到事件日志。 |
| SaferSetLevelInformation | 设置有关策略级别的信息。 |
| SaferSetPolicyInformation | 设置全局策略控制。 |