Windows API编程修改本地安全策略中的高级审核策略(LsaQueryInformationPolicy和LsaSetInformationPolicy)

最新推荐文章于 2024-04-29 11:56:38 发布
最新推荐文章于 2024-04-29 11:56:38 发布
阅读量2.3k 收藏 6
点赞数 2
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43884935/article/details/105142315
版权

本地安全策略的配置大多数是通过界面配置或者命令行配置,使用Windows提供的API比较吃力且不讨好。但是存在即合理,既然存在可以改变本地安全策略的API,那么如果不使用岂不是暴殄天物。所以在这里讲解一些如何使用这些API来修改本地安全策略

本地安全策略有好多,具体查看可以通过
控制面板-》管理工具-》本地安全策略来进行查看
英文版就是:
Control Panel->Adminitratitive tools->Local Security Policy
当然了有的版本没有,我这里使用的是企业版,目前我知道的是家庭中文版没有。
在这里插入图片描述接下来就是介绍一些数据结构了。搞技术的都知道,Linux是一切资源皆文件,Windows就是一切资源皆对象,顾名思义就是C++中的类一样的存在。
因为这里修改的是高级审核策略,所以只着重介绍相关的,其他的可以重MSDN上查找,当然了这个很费眼。

以下三个数据结构就是要用的。稍微研究以下就知道,这个对应的就是安全策略中的某一个一级安全策略。具体信息可以查文档,这里就不详细介绍了

POLICY_INFORMATION_CLASS
typedef enum _POLICY_INFORMATION_CLASS {
  PolicyAuditLogInformation,
  PolicyAuditEventsInformation,
  PolicyPrimaryDomainInformation,
  PolicyPdAccountInformation,
  PolicyAccountDomainInformation,
  PolicyLsaServerRoleInformation,
  PolicyReplicaSourceInformation,
  PolicyDefaultQuotaInformation,
  PolicyModificationInformation,
  PolicyAuditFullSetInformation,
  PolicyAuditFullQueryInformation,
  PolicyDnsDomainInformation,
  PolicyDnsDomainInformationInt,
  PolicyLocalAccountDomainInformation,
  PolicyMachineAccountInformation,
  PolicyLastEntry
} POLICY_INFORMATION_CLASS, *PPOLICY_INFORMATION_CLASS;

POLICY_AUDIT_EVENTS_INFO
typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

POLICY_AUDIT_EVENT_TYPE
typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

接下来就是几个用得着的API函数
操作之前需要使用LsaOpenPolicy打开句柄;LsaQueryInformationPolicy这个函数用来枚举操作的计算机的策略;第三个就是修改的函数。每个参数的意义很多,如果想要拓展的学一定要去看官方文档。

LsaOpenPolicy
NTSTATUS LsaOpenPolicy(
  PLSA_UNICODE_STRING    SystemName,
  PLSA_OBJECT_ATTRIBUTES ObjectAttributes,
  ACCESS_MASK            DesiredAccess,
  PLSA_HANDLE            PolicyHandle
);

LsaQueryInformationPolicy function
NTSTATUS LsaQueryInformationPolicy(
  LSA_HANDLE               PolicyHandle,
  POLICY_INFORMATION_CLASS InformationClass,
  PVOID                    *Buffer
);

LsaSetInformationPolicy function
NTSTATUS LsaSetInformationPolicy(
  LSA_HANDLE               PolicyHandle,
  POLICY_INFORMATION_CLASS InformationClass,
  PVOID                    Buffer
);

正题就是如何修改,这里由于版本的不同,理论上10个安全策略,但是只有9个。但是不影响。代码实测在VS Code上。需要管理员权限


#include "stdio.h"
#include "stdlib.h"
#include "windows.h"
#include "tchar.h"
#include "Winreg.h"
#include "shlwapi.h"
#include "Ntsecapi.h"
//#include "ntifs.h"
#include <iostream>
#include <string>
#include <vector>
#include <sddl.h>
#include <cstdlib>
using namespace std;

LSA_HANDLE GetHandle();
BOOL Get_Sec_AuditSetting();
void SET_Audit_Policy(POLICY_AUDIT_EVENT_TYPE eventtype,POLICY_AUDIT_EVENT_OPTIONS eventoption);
string GET_AUDIT_STR(string s,PPOLICY_AUDIT_EVENTS_INFO pInfo,int i);

int _tmain(int argc, _TCHAR* argv[])
{
    //string result;
     Get_Sec_AuditSetting();
     while(1)
     {
    cout<<"Please choose one of the Audit Policies to set:\n";
    cout<<"1: Account Logon\n";
    cout<<"2: Account Management\n";
    cout<<"3: Detailed Tracking\n";
    cout<<"4: DS Access\n";
    cout<<"5: Logon/Logoff\n";
    cout<<"6: Object Access\n";
    cout<<"7: Policy Change\n";
    cout<<"8: Privilege Use\n";
    cout<<"9: System\n";
    cout<<"0: exit\n";
    cout<<"Input the numboer of your chioce:";
    int EventType,EventOption;
    cin>>EventType;

    if(EventType == 0)
    {
        break;
    }

    cout<<"Please choose the configuration you want to set:\n";
    cout<<"1: Success\n";
    cout<<"2: Failure\n";
    cin>>EventOption;

    POLICY_AUDIT_EVENT_TYPE eventtype;
    POLICY_AUDIT_EVENT_OPTIONS eventoption = POLICY_AUDIT_EVENT_SUCCESS;

    if(EventOption == 1)
    {
        eventoption = POLICY_AUDIT_EVENT_SUCCESS;
    }
        
    else
    {
        eventoption = POLICY_AUDIT_EVENT_FAILURE;
    }


    switch (EventType)
    {
        case 1:
            eventtype = AuditCategoryAccountLogon;
            break;
        case 2:
            eventtype = AuditCategoryAccountManagement;
            break;
        case 3:
            eventtype = AuditCategoryDetailedTracking;
            break;
        case 4:
            eventtype = AuditCategoryDirectoryServiceAccess;
            break;
        case 5:
            eventtype = AuditCategoryLogon;
            break;
        case 6:
            eventtype = AuditCategoryObjectAccess;
            break;
        case 7:
            eventtype = AuditCategoryPolicyChange;
            break;
        case 8:
            eventtype = AuditCategoryPrivilegeUse;
            break;
        case 9:
            eventtype = AuditCategorySystem;
            break;

    }
     SET_Audit_Policy(eventtype,eventoption);
     }
     cout<<"After setting\n";
     Get_Sec_AuditSetting();
     system("pause");
     return 0;

}


LSA_HANDLE GetHandle()
{
    LSA_HANDLE myPolicyHandle;
    LSA_OBJECT_ATTRIBUTES ObjectAttributes;
    PVOID *Buffer;
    ZeroMemory(&ObjectAttributes, sizeof(ObjectAttributes));

    NTSTATUS tmp1 = LsaOpenPolicy(NULL,&ObjectAttributes,POLICY_ALL_ACCESS,&myPolicyHandle);
    if(tmp1 == ERROR_SUCCESS){
        printf("get handle successfully!\n");
        return myPolicyHandle;
    }
    printf("failed to get handle!\n");
    return NULL;
}
string GET_AUDIT_STR(string x,PPOLICY_AUDIT_EVENTS_INFO pInfo,int i)
{
 
    string str;
    string result;
    if(POLICY_AUDIT_EVENT_SUCCESS&pInfo->EventAuditingOptions[i]){
        str+="Success";
    }
    if(POLICY_AUDIT_EVENT_FAILURE&pInfo->EventAuditingOptions[i]){
        str+=str.size()==0?"Failure":"| Failure";
    }
    if(str.size() == 0){
        str+="No Audit";
    }
    //str+="\n";
    result = x+str;
    return result;

}

BOOL Get_Sec_AuditSetting()
{
    LSA_HANDLE handle = GetHandle();
     PPOLICY_AUDIT_EVENTS_INFO pInfo;
     string tmp;
     if(handle){
         NTSTATUS status = LsaQueryInformationPolicy(handle,PolicyAuditEventsInformation,(void **)&pInfo);
         //cout<<"MaximumAuditEventCount:"<<pInfo->MaximumAuditEventCount<<endl;
         if(status == CMC_STATUS_SUCCESS && pInfo->AuditingMode){
             for(int i =0;i<pInfo->MaximumAuditEventCount;i++)
             {
                 switch(i)
                 {
                    case AuditCategoryAccountLogon:
                        tmp = GET_AUDIT_STR("Audit Account Logon: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryAccountManagement:
                        tmp = GET_AUDIT_STR("Audit Account Management: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryDetailedTracking:
                        tmp = GET_AUDIT_STR("Audit Detailed Tracking: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryDirectoryServiceAccess:
                        tmp = GET_AUDIT_STR("Audit CategoryDirectory Service Access: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryLogon:
                        tmp = GET_AUDIT_STR("Audit Logon/Logoff: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryObjectAccess:
                        tmp = GET_AUDIT_STR("Audit Object Access: ",pInfo,i);
                        cout<<tmp<<endl;

                    case AuditCategoryPolicyChange:
                        tmp = GET_AUDIT_STR("Audit Policy Change: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryPrivilegeUse:
                        tmp = GET_AUDIT_STR("Audit Privilege Use: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategorySystem:
                        tmp = GET_AUDIT_STR("Audit System: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;

                    default:
                        break;
                 }

             }
         }
         else{
             printf("STATUES ERROR %u",status);
         }

     }
     return true;
}

void SET_Audit_Policy(POLICY_AUDIT_EVENT_TYPE eventtype,POLICY_AUDIT_EVENT_OPTIONS eventoption)
{


    LSA_HANDLE handle = GetHandle();
    POLICY_AUDIT_EVENTS_INFO *AuditEvent ;
    NTSTATUS status;
    status = LsaQueryInformationPolicy(handle,PolicyAuditEventsInformation,(void **)&AuditEvent);
    //AuditEvent->AuditingMode = true;
    AuditEvent->EventAuditingOptions[eventtype] = eventoption;
    //cout<<"!!!"<<endl;
    
    status = LsaSetInformationPolicy(handle,PolicyAuditEventsInformation,(void *)AuditEvent);
         if(status == CMC_STATUS_SUCCESS )
         {
             cout<<"Set successfully!\n";
         }
         else
         {
             cout<<"Failed to set!\n";
         }
}

运行结果
在这里插入图片描述在这里插入图片描述在这里插入图片描述

古林奇镜
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
系统组策略的本地帐户的共享和安全模式如何在命令行或者远程更改
08-08
系统组策略的本地帐户的共享和安全模式如何在命令行或者远程更改的实现。
读取系统日志安全日志审核配置
trents的专栏
12-12 4287
1、使用API  LsaQueryInformationPolicy,测试Win2003,2008,Win7都可以,应该和Windows版本无关。 上代码: LSA_HANDLE CDlgSysInfo::GetPolicyHandle() {   LSA_OBJECT_ATTRIBUTES ObjectAttributes;  // WCHAR SystemName[] = TAR
C++修改本地组策略
dasgk的专栏
09-17 9616
现在发现,网上关于这方面的代码很是不多,
C++修改本地安全策略
04-03 5425
author:baicker (更新:注意编译运行文程序后留意administrator可能会变成active=no,undocument,undocument........哈哈)要写个修改本地安全策略的工具,本以为修改注册表就行了,没想到还挺复杂,改策略,对应的注册表项会变,倒过来,改对应的注册表项,策略没变,郁闷[HKEY_LOCAL_MACHINE/SAM/SAM/Domains
通过IGroupPolicyObject实现修改某个组策略
S664200185的专栏
08-14 7433
修改自动播放功能 HRESULT hr=S_OK; ::CoInitialize(NULL); IGroupPolicyObject* p = NULL; /*hr = CoCreateInstance(CLSID_GroupPolicyObject, NULL, CLSCTX_INPROC_SERVER, IID_IGroupPolicyObject, (LP
LsaQueryInformationPolicyLsaSetInformationPolicy
better_me2016的博客
08-06 723
LsaQueryInformationPolicy函数检索关于策略对象的信息。 语法: NTSTATUS LsaQueryInformationPolicy(   LSA_HANDLE               PolicyHandle,   POLICY_INFORMATION_CLASS InformationClass,   PVOID                    *Buff...
本地安全审计策略配置之LsaQueryInformationPolicyLsaSetInformationPolicy
weixin_43900310的博客
03-27 1024
本地安全审计策略配置之LsaQueryInformationPolicyLsaSetInformationPolicy概述及代码概览 概述及代码概览 //windowsAPI编程 #include "afx.h" #include "stdio.h" #include "stdlib.h" #include "windows.h" #include "tchar.h" #include "Win...
怎么更改计算机策略,如何修改本地组策略设置编程
weixin_39595164的博客
07-29 603
使用这个链接 :)您可以使用此项目在本地系统上修改GPO。 不改变直接注册!!!!HRESULT hr;IGroupPolicyObject* pLGPO;HKEY machine_key, dsrkey;const IID my_IID_IGroupPolicyObject ={ 0xea502723, 0xa23d, 0x11d1, { 0xa7, 0xd3, 0x0, 0x0, 0xf8, ...
打开程序时固定位置_好消息:组策略编辑器也可以固定到Win10开始菜单和任务栏上了...
weixin_39516956的博客
11-29 618
Windows 10上,本地组策略编辑器(gpedit.msc)是一个功能强大的工具,能够实现高级自定义配置(例如,禁用自动更新或Windows Defender防病毒软件),通常无法通过“设置”应用程序或“控制面板”使用,也似乎没有办法将组策略应用程序固定到“开始”菜单或任务栏。 虽然它是一个方便的工具,但由于一些奇怪的原因,编辑器没有固定到任务栏或开始菜单的选项,使用起来非常不方便。这可能看...
AD组策略使用技巧-用AD组策略控制客户端本地组
11-19
AD组策略使用技巧-用AD组策略控制客户端本地组
服务器安全审计策略配置
08-10
服务器安全审计策略配置,压缩包里是截图,对应设置密码长度策略修改时间时间策略,输错密码锁定策略,安全设计策略
python 更改win10本机安全策略,本机策略,账号策略审核策略
10-12
修改本地安全策略,python语言自动实现,方便学习,容易理解,可用于渗透自动化脚本,建立可持续性后门。win10策略,更改inf文件。
Windows API 编程_pdf_windowsAPI编程_
10-03
windowsAPI编程高清版,windowsAPI编程高清版
API接口安全策略文档
06-29
1.目标 防伪装攻击:第三方恶意调用接口。...防篡改攻击:请求在传输过程被修改。 防重放攻击:请求被截获后,被多次重放。 防数据信息泄漏:被截获到系统数据,例如账号、密码、交易信息等。 
windowsAPI.rar_Windows API 编程_Windows API编程_windows api
09-19
windows API 一日一练,专门为哪些想进一步学习windows API编程,提供了很好的途径
Windows API List_windows_WindowsAPI编程_windowsapilist_
09-28
Windows 各种API汇总,用法说明。是windows编程的必备手册
C++第三阶段】list容器&排序
最新发布
还有很多需要学习,现在还很菜
04-29 726
以下内容仅为当前认识,可能有不足之处,欢迎讨论!
《21天学通C++》(第十章)实现继承(1)
立志成为炼丹师?
04-28 330
覆盖是一种极端情况,即派生类的重载方法会隐藏基类方法的所有重载版本,导致需要调用时无法调用,示例代码如下。解决方法3:在派生类,把基类的方法全部重载一次,并在派生类就调用基类方法。只要派生类实现了从基类继承的函数,且返回值和标值相同,就可以覆盖。如果基类包含重载的构造函数,可以使用初始化列表传递参数。,避免不定义的情况下,随机数值产生影响。解决办法1:使用作用域解析符。解决方法2:在派生类使用。同样使用作用域解析运算符。在构造一个派生类时,使用作用域解析运算符。若想调用基类的方法。
visual basic程序员windows api编程手册 pdf
10-28
可以在互联网上找到《Visual Basic程序员Windows API编程手册PDF》,该手册可以为Visual Basic程序员提供编写与Windows操作系统交互的应用程序所需的基本知识和技能。 Windows API(应用程序编程接口)是Windows操作系统提供的一组功能接口,它允许程序员通过调用不同的API函数来访问操作系统的底层功能。通过利用Windows API,程序员可以实现更复杂和更加强大的功能,如窗口管理、文件管理、进程控制等。 《Visual Basic程序员Windows API编程手册PDF》提供了详细的文档和示例代码,帮助程序员理解Windows API的使用方法。手册将列出常用的API函数和相关参数,并提供示例代码来演示如何调用这些函数来实现特定的功能。 该手册还提供了一些基本的概念和技巧,帮助程序员更好地理解和应用Windows API编程。例如,它介绍了Windows消息循环的工作原理,讲解了如何处理窗口消息和事件,以及如何使用API函数来操作窗口和控件。 此外,该手册还讲解了如何与其他Windows系统组件进行交互,如文件系统、注册表、网络等。它还介绍了如何处理错误和异常,以及如何进行调试和优化Windows API代码。 总之,《Visual Basic程序员Windows API编程手册PDF》是一本有价值的资源,它可以帮助Visual Basic程序员在Windows操作系统下开发更强大和功能丰富的应用程序。无论是初学者还是有经验的程序员,都可以从获得有关Windows API编程的实用知识和指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值