Windows API编程修改本地安全策略中的高级审核策略(LsaQueryInformationPolicy和LsaSetInformationPolicy)

最新推荐文章于 2025-03-21 16:14:35 发布
最新推荐文章于 2025-03-21 16:14:35 发布
阅读量2.8k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43884935/article/details/105142315
本文深入探讨了如何使用Windows本地安全策略API进行高级审核策略的配置与修改,包括关键数据结构、API函数及其实现代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本地安全策略的配置大多数是通过界面配置或者命令行配置,使用Windows提供的API比较吃力且不讨好。但是存在即合理,既然存在可以改变本地安全策略的API,那么如果不使用岂不是暴殄天物。所以在这里讲解一些如何使用这些API来修改本地安全策略

本地安全策略有好多,具体查看可以通过
控制面板-》管理工具-》本地安全策略来进行查看
英文版就是:
Control Panel->Adminitratitive tools->Local Security Policy
当然了有的版本没有,我这里使用的是企业版,目前我知道的是家庭中文版没有。
在这里插入图片描述接下来就是介绍一些数据结构了。搞技术的都知道,Linux是一切资源皆文件,Windows就是一切资源皆对象,顾名思义就是C++中的类一样的存在。
因为这里修改的是高级审核策略,所以只着重介绍相关的,其他的可以重MSDN上查找,当然了这个很费眼。

以下三个数据结构就是要用的。稍微研究以下就知道,这个对应的就是安全策略中的某一个一级安全策略。具体信息可以查文档,这里就不详细介绍了

POLICY_INFORMATION_CLASS
typedef enum _POLICY_INFORMATION_CLASS {
  PolicyAuditLogInformation,
  PolicyAuditEventsInformation,
  PolicyPrimaryDomainInformation,
  PolicyPdAccountInformation,
  PolicyAccountDomainInformation,
  PolicyLsaServerRoleInformation,
  PolicyReplicaSourceInformation,
  PolicyDefaultQuotaInformation,
  PolicyModificationInformation,
  PolicyAuditFullSetInformation,
  PolicyAuditFullQueryInformation,
  PolicyDnsDomainInformation,
  PolicyDnsDomainInformationInt,
  PolicyLocalAccountDomainInformation,
  PolicyMachineAccountInformation,
  PolicyLastEntry
} POLICY_INFORMATION_CLASS, *PPOLICY_INFORMATION_CLASS;

POLICY_AUDIT_EVENTS_INFO
typedef struct _POLICY_AUDIT_EVENTS_INFO {
  BOOLEAN                     AuditingMode;
  PPOLICY_AUDIT_EVENT_OPTIONS EventAuditingOptions;
  ULONG                       MaximumAuditEventCount;
} POLICY_AUDIT_EVENTS_INFO, *PPOLICY_AUDIT_EVENTS_INFO;

POLICY_AUDIT_EVENT_TYPE
typedef enum _POLICY_AUDIT_EVENT_TYPE {
  AuditCategorySystem,
  AuditCategoryLogon,
  AuditCategoryObjectAccess,
  AuditCategoryPrivilegeUse,
  AuditCategoryDetailedTracking,
  AuditCategoryPolicyChange,
  AuditCategoryAccountManagement,
  AuditCategoryDirectoryServiceAccess,
  AuditCategoryAccountLogon
} POLICY_AUDIT_EVENT_TYPE, *PPOLICY_AUDIT_EVENT_TYPE;

接下来就是几个用得着的API函数
操作之前需要使用LsaOpenPolicy打开句柄;LsaQueryInformationPolicy这个函数用来枚举操作的计算机的策略;第三个就是修改的函数。每个参数的意义很多,如果想要拓展的学一定要去看官方文档。

LsaOpenPolicy
NTSTATUS LsaOpenPolicy(
  PLSA_UNICODE_STRING    SystemName,
  PLSA_OBJECT_ATTRIBUTES ObjectAttributes,
  ACCESS_MASK            DesiredAccess,
  PLSA_HANDLE            PolicyHandle
);

LsaQueryInformationPolicy function
NTSTATUS LsaQueryInformationPolicy(
  LSA_HANDLE               PolicyHandle,
  POLICY_INFORMATION_CLASS InformationClass,
  PVOID                    *Buffer
);

LsaSetInformationPolicy function
NTSTATUS LsaSetInformationPolicy(
  LSA_HANDLE               PolicyHandle,
  POLICY_INFORMATION_CLASS InformationClass,
  PVOID                    Buffer
);

正题就是如何修改,这里由于版本的不同,理论上10个安全策略,但是只有9个。但是不影响。代码实测在VS Code上。需要管理员权限


#include "stdio.h"
#include "stdlib.h"
#include "windows.h"
#include "tchar.h"
#include "Winreg.h"
#include "shlwapi.h"
#include "Ntsecapi.h"
//#include "ntifs.h"
#include <iostream>
#include <string>
#include <vector>
#include <sddl.h>
#include <cstdlib>
using namespace std;

LSA_HANDLE GetHandle();
BOOL Get_Sec_AuditSetting();
void SET_Audit_Policy(POLICY_AUDIT_EVENT_TYPE eventtype,POLICY_AUDIT_EVENT_OPTIONS eventoption);
string GET_AUDIT_STR(string s,PPOLICY_AUDIT_EVENTS_INFO pInfo,int i);

int _tmain(int argc, _TCHAR* argv[])
{
    //string result;
     Get_Sec_AuditSetting();
     while(1)
     {
    cout<<"Please choose one of the Audit Policies to set:\n";
    cout<<"1: Account Logon\n";
    cout<<"2: Account Management\n";
    cout<<"3: Detailed Tracking\n";
    cout<<"4: DS Access\n";
    cout<<"5: Logon/Logoff\n";
    cout<<"6: Object Access\n";
    cout<<"7: Policy Change\n";
    cout<<"8: Privilege Use\n";
    cout<<"9: System\n";
    cout<<"0: exit\n";
    cout<<"Input the numboer of your chioce:";
    int EventType,EventOption;
    cin>>EventType;

    if(EventType == 0)
    {
        break;
    }

    cout<<"Please choose the configuration you want to set:\n";
    cout<<"1: Success\n";
    cout<<"2: Failure\n";
    cin>>EventOption;

    POLICY_AUDIT_EVENT_TYPE eventtype;
    POLICY_AUDIT_EVENT_OPTIONS eventoption = POLICY_AUDIT_EVENT_SUCCESS;

    if(EventOption == 1)
    {
        eventoption = POLICY_AUDIT_EVENT_SUCCESS;
    }
        
    else
    {
        eventoption = POLICY_AUDIT_EVENT_FAILURE;
    }


    switch (EventType)
    {
        case 1:
            eventtype = AuditCategoryAccountLogon;
            break;
        case 2:
            eventtype = AuditCategoryAccountManagement;
            break;
        case 3:
            eventtype = AuditCategoryDetailedTracking;
            break;
        case 4:
            eventtype = AuditCategoryDirectoryServiceAccess;
            break;
        case 5:
            eventtype = AuditCategoryLogon;
            break;
        case 6:
            eventtype = AuditCategoryObjectAccess;
            break;
        case 7:
            eventtype = AuditCategoryPolicyChange;
            break;
        case 8:
            eventtype = AuditCategoryPrivilegeUse;
            break;
        case 9:
            eventtype = AuditCategorySystem;
            break;

    }
     SET_Audit_Policy(eventtype,eventoption);
     }
     cout<<"After setting\n";
     Get_Sec_AuditSetting();
     system("pause");
     return 0;

}


LSA_HANDLE GetHandle()
{
    LSA_HANDLE myPolicyHandle;
    LSA_OBJECT_ATTRIBUTES ObjectAttributes;
    PVOID *Buffer;
    ZeroMemory(&ObjectAttributes, sizeof(ObjectAttributes));

    NTSTATUS tmp1 = LsaOpenPolicy(NULL,&ObjectAttributes,POLICY_ALL_ACCESS,&myPolicyHandle);
    if(tmp1 == ERROR_SUCCESS){
        printf("get handle successfully!\n");
        return myPolicyHandle;
    }
    printf("failed to get handle!\n");
    return NULL;
}
string GET_AUDIT_STR(string x,PPOLICY_AUDIT_EVENTS_INFO pInfo,int i)
{
 
    string str;
    string result;
    if(POLICY_AUDIT_EVENT_SUCCESS&pInfo->EventAuditingOptions[i]){
        str+="Success";
    }
    if(POLICY_AUDIT_EVENT_FAILURE&pInfo->EventAuditingOptions[i]){
        str+=str.size()==0?"Failure":"| Failure";
    }
    if(str.size() == 0){
        str+="No Audit";
    }
    //str+="\n";
    result = x+str;
    return result;

}

BOOL Get_Sec_AuditSetting()
{
    LSA_HANDLE handle = GetHandle();
     PPOLICY_AUDIT_EVENTS_INFO pInfo;
     string tmp;
     if(handle){
         NTSTATUS status = LsaQueryInformationPolicy(handle,PolicyAuditEventsInformation,(void **)&pInfo);
         //cout<<"MaximumAuditEventCount:"<<pInfo->MaximumAuditEventCount<<endl;
         if(status == CMC_STATUS_SUCCESS && pInfo->AuditingMode){
             for(int i =0;i<pInfo->MaximumAuditEventCount;i++)
             {
                 switch(i)
                 {
                    case AuditCategoryAccountLogon:
                        tmp = GET_AUDIT_STR("Audit Account Logon: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryAccountManagement:
                        tmp = GET_AUDIT_STR("Audit Account Management: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryDetailedTracking:
                        tmp = GET_AUDIT_STR("Audit Detailed Tracking: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryDirectoryServiceAccess:
                        tmp = GET_AUDIT_STR("Audit CategoryDirectory Service Access: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryLogon:
                        tmp = GET_AUDIT_STR("Audit Logon/Logoff: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryObjectAccess:
                        tmp = GET_AUDIT_STR("Audit Object Access: ",pInfo,i);
                        cout<<tmp<<endl;

                    case AuditCategoryPolicyChange:
                        tmp = GET_AUDIT_STR("Audit Policy Change: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategoryPrivilegeUse:
                        tmp = GET_AUDIT_STR("Audit Privilege Use: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;
                    case AuditCategorySystem:
                        tmp = GET_AUDIT_STR("Audit System: ",pInfo,i);
                        cout<<tmp<<endl;
                        break;

                    default:
                        break;
                 }

             }
         }
         else{
             printf("STATUES ERROR %u",status);
         }

     }
     return true;
}

void SET_Audit_Policy(POLICY_AUDIT_EVENT_TYPE eventtype,POLICY_AUDIT_EVENT_OPTIONS eventoption)
{


    LSA_HANDLE handle = GetHandle();
    POLICY_AUDIT_EVENTS_INFO *AuditEvent ;
    NTSTATUS status;
    status = LsaQueryInformationPolicy(handle,PolicyAuditEventsInformation,(void **)&AuditEvent);
    //AuditEvent->AuditingMode = true;
    AuditEvent->EventAuditingOptions[eventtype] = eventoption;
    //cout<<"!!!"<<endl;
    
    status = LsaSetInformationPolicy(handle,PolicyAuditEventsInformation,(void *)AuditEvent);
         if(status == CMC_STATUS_SUCCESS )
         {
             cout<<"Set successfully!\n";
         }
         else
         {
             cout<<"Failed to set!\n";
         }
}

运行结果
在这里插入图片描述在这里插入图片描述在这里插入图片描述

古林奇镜
关注
本地安全审计策略配置之LsaQueryInformationPolicyLsaSetInformationPolicy
weixin_43900310的博客
03-27 1127
本地安全审计策略配置之LsaQueryInformationPolicyLsaSetInformationPolicy概述及代码概览 概述及代码概览 //windowsAPI编程 #include "afx.h" #include "stdio.h" #include "stdlib.h" #include "windows.h" #include "tchar.h" #include "Win...
自动修改Windows策略
Zhang Sir的科学园地
03-26 6072
在工作中遇到了批量配置Windows策略组的问题,网上流传的一般方法是修改注册表,据说不是总能有效。于是摸索学习,了解到使用LGPO的方法比较靠谱,遂记录以备忘。
LsaQueryInformationPolicyLsaSetInformationPolicy
better_me2016的博客
08-06 872
LsaQueryInformationPolicy函数检索关于策略对象的信息。 语法: NTSTATUS LsaQueryInformationPolicy(   LSA_HANDLE               PolicyHandle,   POLICY_INFORMATION_CLASS InformationClass,   PVOID                    *Buff...
python 更改win10本机安全策略,本机策略,账号策略审核策略
10-12
修改本地安全策略,python语言自动实现,方便学习,容易理解,可用于渗透自动化脚本,建立可持续性后门。win10策略,更改inf文件。
命令行修改本地策略_通过命令行从Windows进行本地组管理
cunjiu9486的博客
10-10 6991
命令行修改本地策略Modern operating systems like Linux, Windows uses groups to manage user rights more flexible way. Users generally assigned to the groups to use groups related privileges like Local Admin, R...
WINDOWS高级编程指南.pdf
05-05
书中详细讲述了Win32应用程序接口(API)高级使用方法,以及如何在32位Windows操作系统上,例如Windows 95Windows NT环境下,进行高效编程。Jeffrey Richter凭借其深厚的专业知识实际编程经验,不仅讲解了Win32...
精通windowsAPI函数接口编程实例【pdf+光盘】
04-09
在"精通Windows API函数接口编程实例源代码"部分,作者提供了配套的源代码,这些代码涵盖了书中的各种示例,读者可以直接运行调试,加深对API函数的理解。这些实践项目包括简单的控制台应用、窗口程序、图形绘制、...
精通windowsAPI函数接口编程实例源代码
03-20
《精通Windows API函数接口编程实例源代码》是一个深入学习Windows API编程的重要资源,它涵盖了大量实践案例,旨在帮助开发者熟练掌握API接口的使用技巧。Windows API是微软为开发者提供的一个平台,通过它,程序员...
精通Windows API-函数、接口、编程实例(光盘源代码)
08-10
《精通Windows API——函数、接口、编程实例》是一本深入探讨Windows操作系统编程的书籍,它主要围绕Windows API展开,详细讲解了如何利用API函数接口进行高效、专业的程序开发。Windows APIWindows操作系统提供...
精通Windows.API-函数、接口、编程实例.pdf
01-27
2.1.4 Windows中的数据结构 15 2.2 Windows API的功能分类 15 2.2.1 系统基本服务 15 2.2.2 系统管理 17 2.2.3 用户界面 17 2.2.4 图像多媒体 20 2.2.5 网络 20 2.2.6 系统安全 20 2.2.7 其他...
windows安全机制API大集合模块源码
05-28
内有:。windows 文件/对象 安全控制系列函数。windows 用户/用户组 管理系列函数。windows 安全访问令牌(token)相关函数。windows token 特权操作相关函数。windows 本地安全策略 相关函数。可以实现的功能举例:。1、windows 用户/用户组的创建,删除,密码修改,添加到用户组等等。2、windows 用户的权限管理,如针对用户或者进程,线程,允许调试程序,禁止登陆,禁止使用网络,允许修改系统时间,允许设置文件安全属性等等。3、对文件或者其他对象的安全标示符的操作:禁止某些用户访问,设置文件的所有者,改变文件的控制标示符等。4、对安全访问令牌(token)的操作,如取模拟令牌,设置令牌权限,设置进程线程安全令牌,限制线程执行权限等等。@落款hMZ。Tags:windows安全机制API
命令修改本地计算机策略,命令行修改本地策略_通过命令行从Windows进行本地组管理...
weixin_39586335的博客
07-28 3422
命令行修改本地策略_通过命令行从Windows进行本地组管理命令行修改本地策略_通过命令行从Windows进行本地组管理命令行修改本地策略Modern operating systems like Linux, Windows uses groups to manage user rights more flexible way. Users generally assigned to th...
修改windows执行策略
qq_52045491的博客
04-06 412
首先点击win在搜索栏搜powershell,如下图右键以管理员身份打开。复制下面命令回车,再次输入A回车即可。
powershell Win32 API本地用户管理(番外:Win32 错误处理)
热门推荐
2401_82910308的博客
02-18 2万+
未经允许不得转载,转载时请标注来源;禁止用作商业及其他衍生目的。有误请指正,侵权请联系删除。有更好的方法也请联系我求赞,关注,评论主要目的:实现错误处理(本系列所有$result对应的变量都为错误代码,有时作者可能不会进行错误处理,但请自行补充。
本地安全策略
最新发布
qq_58522525的博客
03-21 257
本地安全策略(Local Security Policy) 是一个用于管理计算机本地安全配置的核心工具。
Windows Server 本地安全策略
2302_76631943的博客
12-15 1683
用户权限的分配是操作系统网络环境中的关键方面,它确保用户只能访问他们所需的资源,同时限制对系统敏感数据的未经授权的访问。需要注意的是,本地安全策略通常用于单独的计算机,而在企业环境中,通常会使用群组策略(Group Policy)来集中管理网络中所有计算机的安全性设置。审核策略Windows Server中是一项安全功能,用于记录监控系统事件,以便追踪安全事件、识别潜在的威胁,并帮助进行安全审计。服务器安全的确保可以有效地防止未经授权的访问数据泄露,维护数据的机密性完整性。
本地安全策略账户锁定阈值设置
weixin_40567080的博客
03-12 6017
为了防止被攻击者暴力破解密码,可以为自己的PC设置账户锁定阈值为5,即5次无效登陆后将锁定账户。 具体操作步骤如下: 打开控制面板 选择管理工具 选择本地安全策略(local security policy)-> 账户策略 -> 账户锁定策略 -> 账户锁定阈值 账户锁定阈值 默认为0次无效登录,双击将其更改为5次。 应用 -> 确定 -> 确定 ...
Windows系统基础()本地组与本地安全策略
2301_79469341的博客
12-12 1602
能够登录系统并使用系统资源的实体。每个用户都有唯一的用户名密码,用于标识验证身份。:用户的集合,用于简化权限管理。将权限分配给组,组内的所有用户自动继承这些权限。
bat脚本及windows策略问题
Hello World
06-27 7235
Windows 操作系统默认情况下,可能会在本地计算机或数据存储区中存储用户的密码凭据,并且密码可能被以明文方式存储到本地或远程存储中,这会存在安全风险。请注意,Guest账户是可公共访问的,降低了计算机的安全性。但是使用/overwrite选项时需要注意,在覆盖模式下,SecDB文件中现有的所有安全设置都将被所应用的安全模板的设置替换掉,可能造成不必要的安全风险数据丢失等问题。其中,/v表示添加的值名称,/t表示添加的值类型,/d表示添加的值数据,/f表示在不存在该键时,自动创建该键。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值