安全性管理功能
本節包含下列函式群組的主題:
附件回呼函式
下列支援函式是由安全性設定工具集提供,而且可由附件引擎和擴充功能嵌入式管理單元用來讀取和寫入組態數據。
| 回調函式 | 描述 |
|---|---|
|
PFSCE_FREE_INFO |
用來釋放這些支援函式配置的記憶體。 |
|
PFSCE_LOG_INFO |
用來將訊息記錄到組態記錄檔或分析記錄檔。 |
|
PFSCE_QUERY_INFO |
用來查詢特定服務的組態和分析資訊。 |
|
PFSCE_SET_INFO |
用來設定特定服務的組態和分析資訊。 |
附件引擎函式
| 功能 | 描述 |
|---|---|
|
SceSvcAttachmentAnalyze |
由附件引擎 DLL 實作。 分析系統時,安全性設定引擎會呼叫此函式。 |
|
SceSvcAttachmentConfig |
由附件引擎 DLL 實作。 設定系統時,安全性設定引擎會呼叫此函式。 |
|
SceSvcAttachmentUpdate |
由附件引擎 DLL 實作。 當安全性組態引擎從附件嵌入式管理單元擴充功能收到組態更新要求時,會呼叫此函式。 |
LSA 原則函式
下列主題提供 本地安全機構 (LSA) 原則函式的參考資訊。
| 主題 | 描述 |
|---|---|
| 原則函式 |
詳細數據函式,用來開啟本機 原則 物件,以及設定或擷取全域原則資訊。 |
| 帳戶函式 |
用來管理帳戶許可權及建立和刪除用戶帳戶的詳細數據函式。 |
| 信任的網域函式 |
詳細數據函式,用來建立和刪除信任網域關聯性,以及設定和擷取這些受信任網域的相關信息。 |
| 私人數據函式 |
請勿使用 LSA 私人數據函式。 請改用 CryptProtectData 和 CryptUnprotectData 函式。 |
| 其他函式 |
詳細數據函式未描述於別處。 |
原則函式
下列函式會列舉用戶帳戶和受信任的網域、接收原則變更通知,以及查閱帳戶名稱和 SID。
| 功能 | 描述 |
|---|---|
|
LsaEnumerateAccountsWithUserRight |
列舉具有指定用戶許可權的所有帳戶。 |
|
LsaEnumerateTrustedDomainsEx |
列舉受信任的網域。 |
|
LsaLookupNames |
將指定的名稱對應至其 SID。 以 RID/網域 SID 配對的形式傳回 SID。 |
|
LsaLookupNames2 |
將指定的名稱對應至其 SID。 以單一專案的形式傳回 SID。 |
|
LsaLookupPrivilegeValue |
擷取 Local Security Authority (LSA) 用來代表指定許可權名稱的本機唯一標識符 (LUID)。 |
|
LsaLookupSids |
將指定的帳戶名稱對應至其 SID。 |
|
LsaRegisterPolicyChangeNotification |
註冊事件物件,以在本機原則信息變更時接收通知。 |
|
LsaUnregisterPolicyChangeNotification |
取消註冊正在接收原則變更通知的事件物件。 |
帳戶函式
下列函式會新增、列舉和刪除帳戶的許可權。
| 功能 | 描述 |
|---|---|
|
LsaAddAccountRights |
將許可權新增至帳戶。 如果帳戶尚未存在,則會建立帳戶。 |
|
LsaEnumerateAccountRights |
列舉授與給帳戶的許可權。 |
|
LsaRemoveAccountRights |
從帳戶移除許可權。 拿掉所有許可權時,會刪除帳戶。 |
信任的網域函式
下列函式會建立、列舉和刪除受信任的網域,並設定及擷取受信任的網域資訊。
| 功能 | 描述 |
|---|---|
|
LsaCreateTrustedDomainEx |
建立新的 TrustedDomain 物件。 |
|
LsaDeleteTrustedDomain |
拿掉 TrustedDomain 物件。 |
|
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomainsEx |
列舉本機系統目前信任的網域。 |
|
LsaOpenTrustedDomainByName |
開啟 TrustedDomain 物件的句柄。 |
|
LsaQueryTrustedDomainInfo |
擷取受信任網域的相關信息。 網域是由 SID 所指定。 |
|
LsaQueryTrustedDomainInfoByName |
擷取受信任網域的相關信息。 網域是以名稱指定。 |
|
LsaSetTrustedDomainInfoByName |
設定受信任網域的資訊。 網域是以名稱指定。 |
|
LsaSetTrustedDomainInformation |
設定受信任網域的資訊。 網域是由 SID 所指定。 |
私人數據函式
請勿使用 LSA 私人數據函式。 請改用 CryptProtectData 和 CryptUnprotectData 函式。
| 功能 | 描述 |
|---|---|
|
LsaRetrievePrivateData |
擷取和解密字串。 |
|
LsaStorePrivateData |
加密並儲存字串。 |
其他函式
LSA 原則 API 具有下列三個不符合其他 LSA 原則函式類別的函式。
| 功能 | 描述 |
|---|---|
|
LsaClose |
關閉 Policy 物件的句柄或 TrustedDomain 物件。 |
|
LsaFreeMemory |
釋放 LSA 函式配置的緩衝區。 |
|
LsaNtStatusToWinError |
將 NTSTATUS 值轉換為 Windows 錯誤碼。 |
受控服務帳戶函式
下列函式可用來建立、列舉、尋找及刪除受控服務帳戶。
| 功能 | 描述 |
|---|---|
|
NetAddServiceAccount |
建立受控服務帳戶。 |
|
NetEnumerateServiceAccounts |
列舉指定伺服器上的伺服器帳戶。 |
|
NetIsServiceAccount |
測試指定的服務帳戶是否存在於指定伺服器上的 Netlogon 存放區中。 |
|
NetRemoveServiceAccount |
從 Active Directory 資料庫刪除指定的服務帳戶。 |
密碼篩選函式
下列 密碼篩選 函式是由自定義密碼篩選 DLL 實作,以提供密碼篩選和密碼變更通知。
| 功能 | 描述 |
|---|---|
|
InitializeChangeNotify |
表示密碼篩選 DLL 已初始化。 |
|
PasswordChangeNotify |
表示密碼已變更。 |
|
PasswordFilter |
根據密碼原則驗證新的密碼。 |
更安全的函式
下列 「更安全」函式可用來檢查任何可執行檔的安全層級,以及記錄事件。
| 功能 | 描述 |
|---|---|
| SaferCloseLevel | 使用 SaferIdentifyLevel 函式或 SaferCreateLevel 函式來關閉開啟的SAFER_LEVEL_HANDLE。 |
| SaferComputeTokenFromLevel | 使用SAFER_LEVEL_HANDLE所指定的限制來限制令牌。 |
| SaferCreateLevel | 開啟SAFER_LEVEL_HANDLE。 |
| SaferGetLevelInformation | 擷取原則層級的相關信息。 |
| SaferGetPolicyInformation | 擷取原則的相關信息。 |
| SaferIdentifyLevel | 擷取層級的相關信息。 |
| SaferiIsExecutableFileType | 判斷指定的檔案是否為可執行檔。 |
| SaferRecordEventLogEntry | 將訊息傳送至事件記錄檔。 |
| SaferSetLevelInformation | 設定原則層級的相關信息。 |
| SaferSetPolicyInformation | 設定全域原則控件。 |